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Kennziffer 103 


Es geschieht 


I 


am hellichten Tage 


rormeldungen, liebe Leserin, lie- 

ber Leser, als vor einigen Jahren 
alle Welt gebannt auf jenen berüch- 
tigten „schwarzen Freitag" wartete, 
an dem der gefürchtete Israel-Virus 
sein unheilvolles Werk verrichten 
wollte? Oder an den Schrecken, der 
durch „Michelangelo" verbreitet 
wurde, der, ebenfalls an einem Frei- 
tag, dem 13., PCs und Computer- 
netze bedrohte? 

Nun, die allgemein befürchtete 

Katastrophe ist seinerzeit - gottlob - 
nicht eingetroffen. Dank der Abwehr- 


E rinnern Sie sich noch an die Hor- 








maßnahmen, die getroffen wurden, 
war es möglich, den Schaden in 
Grenzen zu halten. Doch das ist, lei- 
der, noch kein Grund für eine allge- 
meine Entwarnung. Im Gegenteil - 
die Gefahr, die von den program- 
mierten Datenkillern ausgeht, ist kei- 
nesfalls gebannt, sondern wächst be- 
ständig weiter. 

Begonnen hat die Geschichte der 
Computerviren vergleichsweise harm- 
los mit einem Spiel: In diesem Com- 
puterspiel mit dem Namen „Krieg 
der Kerne" bekämpfen sich zwei Pro- 
gramme, die die Fähigkeit besitzen, 


‚sich selbst zu reproduzieren; und Sie- 


ger in diesem Kampf ist das Pro- 
gramm, das sich selbst am stärksten 
zu vermehren und dabei die meisten 
Exemplare des Gegners zu vernichten 
vermag. 

Was als Spiel begann und zu- 
nächst bloße Science-Fiction schien, 
wurde bald darauf bitterer Ernst. Seit 
die ersten Computerviren in den 
Achtziger Jahren verbreitet wurden, 
hat die allgemeine Plage beständig 
zugenommen, nicht nur in quantita- 
tiver, sondern auch in qualitativer 
Hinsicht. Die ungebetenen Gäste ver- 
mehren sich nicht nur geradezu epi- 
demisch, sie haben auch dazuge- 
lernt, was die Gefährlichkeit und die 
Bösartigkeit angeht! 

Das Thema Computerviren betrifft 
jeden. Kein PC-Besitzer ist gegen Vi- 
renbefall gefeit, keiner kann sich in 
Sicherheit wiegen. Doch deshalb be- 
steht durchaus kein Anlaß zur Panik: 
Schließlich gibt es Sicherheitsvorkeh- 
rungen, und es gibt mittlerweile eine 
ganze Reihe von Anti-Viren-Program-/ 
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men, die den Kampf gegen die ge- 
fährlichen Eindringlinge wirkungsvoll 
unterstützen. 

Mit den Thunderbyte Anti-Viren- 
Utilities stellen wir Ihnen ein Viren- 
schutzprogramm vor, das neue Maß- 
stäbe setzt und einen bisher nicht er- 
reichten Sicherheitsstandard bietet. 
Nutzen Sie den Vorteil des Share- 
warekonzeptes und testen Sie das 
Programmpaket auf der Heftdiskette 
ausgiebig - sicherlich kommen auch 
Sie schon bald zu dem Ergebnis, daß 
es gegenwärtig kein wirksameres 
Konzept zum Schutz gegen Compu- 
terviren gibt! 

Viel Spaß und eine erfolgreiche 
Arbeit wünscht Ihnen Ihre 


Dr. Marianne Steible 
DOS-TREND Redaktion 
























Einleitung 


or einigen Jahren brachte die niederländische Firma 
17 ESaSS (Electronic Systems and Special Services) 

unter dem Namen „Thunderbyte" einen Virenschutz 
auf Hardware-Basis heraus. Dabei handelt es sich um 
eine PC-Einsteckkarte zur Überwachung aller Festplatten- 
und Speicheroperationen des Rechners. 

In konsequenter Fortführung und Weiterentwicklung 
der Methoden und Verfahren auf dem Gebiet der Virener- 
kennung und Virenabwehr kann das ESaSS Entwicklungs- 
Team unter der Leitung des Virenexperten Frans Veldman 
nun neben der Hardware- auch die Software-Lösung prä- 
sentieren. Die Thunderbyte Anti-Viren-Utilities, abgekürzt 
TBAV, die wir Ihnen in diesem Heft vorstellen möchten, 
enthalten das komplette Instrumentarium zum Schutz vor 
Computerviren - von der Diagnose bis zur Prävention und 
zur Immunisierung. Den differenzierten Aufgaben entspre- 
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Keine Angst: Mit lebendigen Viren haben 
Computerviren nichts zu tun. Computerviren 
sind Programme, die sich durch zwei markante 
Eigenschaften auszeichnen: Sie brauchen ein 
Wirtsprogramm, und sie sind in der Lage, sich 
zu vermehren und auszubreiten. Diesen beiden 
Eigenschaften oder Fähigkeiten verdankt die 
Spezies der Computerviren ihren Namen. 

Sie verstecken sich im Code anderer Pro- 
gramme und tauchen deshalb auch in keinem 
Verzeichnis auf. Die Eindringlinge infizieren an- 


dere Programme, indem sie diese mit ihrem ei- 


genen Programmcode überschreiben. Wird ein 
virulentes Programm aufgerufen, übernimmt 
der darin versteckte Viruscode insgeheim die 
Regie und kopiert seinen zerstörerischen Code 
in die nächste noch nicht infizierte Programm- 
datei. Da meist Wochen oder gar Monate ver- 
gehen, bevor der Virus aktiv wird, werden 
immer mehr Programme infiziert, die Verseu- 
chung breitet sich aus, ohne daß das Verhäng- 
nis erkannt wird und Gegenmaßnahmen ergrif- 
fen werden können. 

Nach ihrem Angriffsziel unterscheidet man 
allgemein zwei Kategorien von Computerviren: 
Dateiviren und Bootsektorviren. 

Dateiviren: Primitive Dateiviren verbreiten 
sich indem sie noch nicht befallene Dateien in- 


KLEINES 
BESTIARIUM 


fizieren, ohne sich jedoch im Speicher einzuni- 
sten. Residente Dateiviren dagegen setzen sich 
nach dem ersten Programmaufruf einer ver- 
seuchten Datei im Speicher fest und breiten 
sich weiter aus, indem sie weitere Dateien beim 
Programmaufruf infizieren. Residente Viren 
müssen im Speicher selbst entfernt werden, es 
genügt nicht, befallene Dateien zu löschen! ° 

Eine raffinierte Abart der Dateiviren stellen 
die Tarnkappen- oder Stealth-Viren dar. Sie sind 
in der Lage, ihre Existenz zu verschleiern, indem 
sie bei jedem Lesezugriff auf infizierte Dateien 
den Originalinhalt anzeigen, so daß einige Zeit 
vergeht, bis die Verseuchung entdeckt wird. 
Ganz besonders heimtückisch und schwierig zu 
bekämpfen sind polymorphe Viren. Darunter 
versteht man Dateiviren, die fähig sind, sich 
selbst zu modifizieren und sich nach jeder In- 
fektion neu zu verschlüsseln. 


chend, baut sich das Programmpaket aus verschiedenen 
Teilprogrammen auf, die zum Teil aufeinander aufbauen 
und einander ergänzen und die in ihrem Zusammenwir- 
ken ein nahezu lückenloses Sicherheitskonzept realisieren: 


erstellt Prüfsummen und legt Anti- 
Viren-Dateien an. 

durchforstet Programmdateien nach 
bekannten und unbekannten Viren. 
schützt den Bootsektor und die 
Partitionstabelle. 

entfernt auch unbekannte Viren und 
rekonstruiert infizierte Dateien. 
umfaßt alle speicherresidenten 
Programme: TBSCANX und 
TBCHECK überprüfen die Integrität 
von Programmdateien. TBMEM, 
TBFILE und TBDISK überwachen 
Dateien, Festplatte und Speicher. 


Bootsektor-Viren nisten sich im Bootsek- 
tor von Disketten oder im Master-Bootsektor 
der Festplatte ein und übernehmen von dort 
aus die Kontrolle, sowie irgendein ausführbares 
Programm aufgerufen wird. Je nach Angriffsziel 
unterscheidet man Bootsektor- und Master- 
Bootsektor-Viren. 

Hybrid-Viren sind eine Kombination von 
Datei- und Bootsektorviren, die sowohl Pro- 
grammdateien wie auch den Master-Bootsektor 
der Festplatte befallen können. Wird ein solcher 
Virus identifiziert, muß der Master-Bootsektor 
unbedingt desinfiziert werden. 

Es gibt auch weitere Eindringlinge, die es in 
ihrer Wirkung und in ihrer Bösartigkeit durch- 
aus mit den geschilderten Datenkillern aufneh- 
men können: 

Trojanische Pferde sind keine Viren im 
engeren Sinne. Sie benötigen kein Wirtspro- 
gramm. Sie schleichen sich in scheinbar harm- 
loser Absicht in das System ein, um dann zur 
Attacke überzugehen. 

Zeitbomben und Logische Bomben sind 
darauf spezialisiert, daß sie an einem bestimm- 
ten Datum oder unter einer bestimmten Bedin- 
gung hochgehen. 

Auch Dropper sind selbst keine Viren. son- 
dern sie schleusen Viren in Bootsektoren ein. 








Programmbedienung 


evor Sie die TBAV-Utilities instal- 
1} lieren, sollten Sie sich eine Si- 

cherheitskopie der Original- 
diskette anfertigen, die Sie mit 
einem Schreibschutz versehen und 
an einem sicheren Ort aufbewahren. 
Um das Programmpaket auf der Fest- 
platte zu installieren, wechseln Sie 
zu dem Laufwerk, in dem sich die 
Programmdiskette befindet, und 
geben ein: 


INSTALL <Laufwerk>:\TBAV 


Die Dateien werden darauf in das 
Verzeichnis TBAV kopiert, das bei der 
Installation automatisch vom Pro- 
gramm angelegt wird. 

Nachdem Sie TBAV auf der Fest- 
platte installiert haben, möchten Sie 
sich vermutlich vergewissern, ob das 
Programm seine Funktion auch wirk- 
lich erfüllt. Dazu muß gewährleistet 
sein, daß TBAV in der AUTO- 

EXEC. BAT eingetragen ist, denn nur 
so können Sie sicher sein, daß TBAV 
seine Kontrollaufgabe bei jedem Pro- 
grammaufruf wahrnimmt. Der Eintrag 
once in der TBSTART. BAT-Datei im 
TBAV-Verzeichnis, den das Installa- 
tionsprogramm für Sie vornimmt, bie- 
tet darüber hinaus die Gewißheit, 
daß das Programm mindestens ein- 
mal täglich zur Ausführung gelangt. 

Wenn Sie das Programm nun 
starten, erscheint sogleich der 
Hauptbildschirm mit dem Programm- 
namen und der Versionsnummer in 
der Titelleiste. 

Das Anti-Viren-Paket TBAV besteht 
aus verschiedenen Einzelprogram- 


men, die sowohl direkt von der DOS- 
Kommandozeile aus wie auch über 
das Menü aufgerufen werden kön- 
nen. Wie Sie schnell feststellen wer- 


‘den, zeichnen sich die TBAV-Utilities 


durch eine moderne SAA-Oberfläche | 
und eine übersichtliche und benut- | 
zerfreundliche Menüführung aus. 

Das Hauptmenü, das nach dem 
Programmstart angezeigt wird, ist in 
folgende Menüs untergliedert: 


® Configure TBAV 

° TbSetup 

+ TbScan 

+ TbUtil 

« TbClean 

« TBAV Monitor 

« Documentation 

« DEUTSCHE VOLLVERSION 
« Quit and save 

« Exit (no save) 


Menüpunkte, die mit einem 
dreieckigen Markierungszeichen 
versehen sind, öffnen, wenn sie akti- 
viert werden, ein neues Untermenü 
mit verschiedenen Optionen, die zum 
Teil wiederum in Unter-Untermenüs 
verzweigen. Dank der streng hierar- 
chischen Programmstruktur ist es 
sehr einfach, sich in den Menüs und 
Untermenüs zurechtzufinden, zumal 
die Statuszeile am unteren Bild- 
schirmrand anzeigt, was die jeweils 
aktive Menüfunktion beinhaltet und 
bewirkt. 

Die einzelnen Menüpunkte kön- 
nen entweder mit der Maus oder 
über die Tastatur durch Bewegen 





Das TBAV-Hauptmenü. 
Menüpunkte, die mit 

einem dreieckigen Pfeil 
versehen sind, öffnen 
ein neues Untermenü. 


I 





des Cursorbalkens mittels der Pfeilta- 


sten oder durch Eingabe der farblich 
hervorgehobenen Buchstaben und 
der Bestätigung mit [ENTER] aufge- 
rufen werden. 

[ENTER] öffnet Menüfenster und 


aktiviert Programmfunktio- 


nen, 
bricht ab, schließt Fenster, 
führt zum übergeordneten 
Menü zurück und beendet 
das Programm. 

Das ist zunächst alles, was Sie für 
die Programmbedienung der Thun- 
derbyte Utilities brauchen. 

Im Bedarfsfall steht Ihnen natür- 
lich auch eine Online-Hilfe zur Ver- 
fügung, die von der DOS-Komman- 
dozeile aus aufgerufen werden kann. 
Kontextbezogene Hilfe erhalten Sie, 
wenn Sie beim DOS-Prompt den je- 
weiligen Programmnamen und da- 
hinter ein Fragezeichen eingeben. 
Wenn Sie sich eine Übersicht über 


[ESC] 


| den Inhalt der Hilfe-Datei ver- 
| schaffen wollen, so geben Sie hinter 


dem Programmnamen kein Fragezei- 
chen, sondern einen Schrägstrich 
und help ein. 

Um Ihnen einen schnellen Über- 
blick zu gewähren und die Orientie- 
rung und Einarbeitung in das Pro- 
gramm so einfach wie möglich zu ge- 
stalten, folgen wir bei der Programm- 
beschreibung der Menüführung und 


| der Menüstruktur, so wie sie sich auf 


dem Bildschirm darstellt. 

Das Konfigurationsmenü Confi- 
gure TBAV bedarf keiner besonderen 
Erläuterung, und auch auf die Menü- 
punkte Documentation, DEUTSCHE 
VOLLVERSION, Quit and save (das 
Programm verlassen und speichern) 
und Exit (no save) (das Programm 
verlassen, ohne zu speichern) brau- 


chen wir nicht weiter einzugehen. Un- 


sere Programmbeschreibung beginnt 
deshalb mit dem Menü TBSETUP. 





Menü- 
punkte, 
die mit 
einem 
dreieckigen Mar- 
kierungszeichen 
versehen sind, öff- 
nen, wenn sie akti- 
viert werden, ein 
neues Untermenü 
mit verschiedenen 
Optionen, die zum 
Teil wiederum in 
Unter-Untermenüs 
verzweigen. 


Kontext- 
Fr bezogene 

Hilfe 
erhalten Sie, wenn 
Sie beim DOS- 
Prompt den jeweili- 
gen Programmna- 
men und dahinter 
ein Fragezeichen 
eingeben. 


Pearl Agency 


Beim 
‚, ersten 
e % Program- 
En maufruf 
wählen Sie die 
Option Start TbSe- 


tup.Wenn Sie das 
SETUP-Programm 
schon einmal absol- 
viert haben, wählen 
Sie die zweite Option 
Files/Paths to setup. 


Sie kön- 
Kr nen das 

SETUP- 
Verfahren mit 
[STRG] + [BREAK] 
abbrechen. 





se 10 PCs 


Vorbeugen 
als heilen 


as Programm TBSETUP läuft 
Des Standard-PC unter 

dem Betriebssystem MS-DOS ab 
Version 3.0 und benötigt nur 140 KB 
freien Arbeisspeicher. TBSETUP ist 
selbst kein Virendetektor, sondern ein 
Hilfsprogramm, ein Utility sozusa- 
gen für die Utilities TBSCAN, 
TBCHECK und TBCLEAN. Das Pro- 
gramm hat die Aufgabe, Datei-Infor- 
mationen zu sammeln, die im’Falle N 
einer Virusattacke benötigtiwerdenz. 
um den Virus zu identifizieren und 
die Datei in ihrem ursprünglic 
stand zu restaurieren. Damit 
formationen im Ernstfall unversehrt 


bleiben und jederzeit original zur Ver- 


fügung stehen, speichert TBSETUP 
die entsprechendey’Daten, die ma- 
thematisch auf sögenannte Prüf- 
summen herifitergerechnet werden, 
in einer eigenen Anti-Viren-Datei. 
Diese Anti Viren-Dateien sind also 
nichts anderes als versteckte Siche- 
rungs-Files, die in einem einmaligen 
Arbeitsgang - eben dem Setup-Ver- 
fahren - zu jeder Programmdatei an- 
gelegt werden»Sie,stehen im selben 
Verzeichnis wie die Originaldatei, 


Sn bleiben aber ihremiSifund,zweck 


N 





entsprechen‘ verborgän Sollte es 


# N 


lese In- 








ist besser 
\ 


früher oder später zu@@inem Virenbe- 
fall und zu einer Infektion kommen, 
können die Informationen der Anti- 
Virus-DateienGenuizt werden, um 
den Virus Knien und die be- 
Schädigten Daten wiederherzustellen. 


eheinleitend zum Sinn und 
abe des Setup-Programms. 






















p-Verfahren 


Wird das Setup-Programm über 
as Menü TBSETUP aktiviert, so öff- 
net sich ein neues Menüfenster mit 
folgenden Untermenüs: 


« Start TbSetup 

« Files/Paths to Setup 
« Options menu 

« Flags menu 

« Data file path/name 
« View datafile 


Wenn Sie das Setup-Programm ak- 
tivieren wollen, stehen zwei Menüop- 


tionen zur Auswahl: 


« Start TbSetup 
« Files/Paths to setup 


Beim ersten Programmaufruf 


| wählen Sie die Option Start TbSetup 


nn 
FIRMEN OHR 





und bestätigen im folgenden Einga- 
befenster die voreingestellte Eingabe 


C:\ mit [ENTER]. 


Wenn Sie das Setup-Programm 
schon einmal absolviert haben 
und das Programm zu einem späteren 
Zeitpunkt erneut aufrufen wollen, um 
Anti-Viren-Files für neu hinzugekom- 
mene Dateien anzulegen oder um be- 
stehende Anti-Viren-Dateien zu ak- 
tualisieren, wählen Sie die zweite 
Option Files/Paths to setup, geben 
in dem Eingabefenster, das einge- 
blendet wird, den Namen und den 
Pfad der gewünschten Datei(en) ein 
und bestätigen Ihre Eingabe wie ge- 
wohnt mit [ENTER]. Wird außer dem 
Laufwerk auch der Pfad angegeben, 
ohne daß ein Dateiname hinzugefügt 
wird, so werden auch Unterverzeich- 
nisse in das Verfahren einbezogen. 
Wenn jedoch ein Dateiname einge- 
tragen wird, folgt das Programm strikt 
dem Pfad, ohne daß Unterverzeich- 
nisse Berücksichtigung finden. 

Beim Ablauf des Setup-Verfahrens, 
das übrigens jederzeit mit 
[STRG]+[BREAK] abgebrochen wer- 
den kann, ist der Bildschirm in drei 
Fenster unterteilt: Im oberen Info- 
Fenster lesen Sie allgemeine Pro- 
gramminformationen. Im Hauptfen- 
ster in der unteren Bildschirmhälfte 
links werden die Verzeichnisse und 
die Dateinamen angezeigt, die ge- 
ade bearbeitet werden, außerdem 
erhalten Sie dort alle einschlägigen 


| Informationen, die auf mögliche Ver- 


änderungen und Manipulationen 
hinweisen könnten. 

Im Status-Fenster unten rechts 
erfahren Sie, wieviele Verzeichnisse 
und Dateien insgesamt in das Setup- 
Verfahren einbezogen wurden, wie- 
viele Dateien davon gesondert be- 
handelt werden, und wieviele Anti- 
Viren-Dateien angelegt worden sind. 

Welche Informationen werden im 
Hauptfenster ausgegeben? 

Zunächst wird der Dateiname, 
die Dateilänge (hexadezimal) und 


| die Prüfsumme (32 Bit CRC) 





angezeigt. 

Weiterhin sehen Sie, was im 
Setup-Programm gerade abläuft. Fol- 
gende Aktionen sind möglich: 
Added: Eine Anti-Viren-Datei 
existiert noch nicht und 
wird jetzt angelegt; 

Eine Anti-Viren-Datei exi- 
stiert, die Ausgangsdatei 
wurde jedoch verändert 
und die Information der 
Anti-Virus-Datei entspre- 
chend aktualisiert; 

Eine Anti-Viren-Datei 
existiert bereits, die Aus- 


Changed: 


Updated: 


gangsdatei selbst wurde nicht verän- 
dert, das Setup-Programm aber ver- 
ändert bestimmte Markierungszei- 
chen (aufgrund entsprechender Ein- 
stellungen im Untermenü Flags). 
Das Sternchen *, das darauf fol- 
gen kann, weist auf Dateien hin, die 
aufgrund besonderer Merkmale be- 
sonders behandelt werden. Und das 
letzte Feld schließlich ist den Flags 
oder Markierungszeichen vorbehal- 
ten. Das sind Zeichen, die vom Pro- 
gramm gesetzt werden, wenn ver- 
dächtige Abweichungen und Verän- 
derungen festgestellt werden. 


Die Optionen 


Im Setup-Programm stehen eine 
Reihe verschiedener Optionen zur 
Verfügung, mit denen Sie auf den 
Ablauf des Verfahrens Einfluß 
nehmen können. Die verschiedenen 
Optionen können als Parameter in 
der DOS-Kommandozeile angegeben 
oder über das entsprechende Menü 
aufgerufen werden. Wir gehen hier 
den einfacheren und intuitiveren 
Weg über das Menü und ersparen es 
uns auf diese Weise, uns die Kürzel 
für jede einzelne Option einprägen 
zu müssen. 


° Use TBAV.INI file: Standard- 
mäßig gelten die Optionen, die 
vom Programm voreingestellt sind 
und die in der Datei TBAV.INI ge- 
speichert werden, nur innerhalb 
der Menüoberfläche. Wird jedoch 
die standardmäßig nicht aktive 
Use TBAV.NI file-Option aktiviert, 
dann gelten die entsprechenden 
Optionen auch, wenn das Pro- 
gramm von der DOS-Kommando- 
zeile aus aufgerufen wird. 
prompt for pause: Die Bildschir- 
manzeige wird fensterweise ange- 
halten 

only new files: Nur neue Dateien 
werden berücksichtigt. 


Es ist unbedingt ratsam, diese 
Option zu aktivieren! Werden 


TBSETUP.DAT 


Dazu eine kurze Erklärung: Prinzipiell 
kann das von TBAV eingesetzte Viren- 
checkverfahren bei allen Dateien ange- 
wandt werden. Doch es gibt Pro- 
gramme, die in ihrer Struktur einem 


Virus sehr ähnlich sind und die unwei- 
gerlich den Virenscanner TBSCAN auf 
den Plan rufen würden, gäbe es die 
Spezialdatei nicht, in der die Informa- 
tionen und die Markierungszeichen 
gespeichert sind, die eine Sonder- 
behandlung der betreffenden 
Dateien ermöglichen und zulassen. 











nicht nur neue, sondern auch bear- 
beitete oder veränderte Dateien in 
das Setup-Verfahren einbezogen, so 


| laufen Sie Gefahr, daß auch die 


Daten in der entsprechenden Anti- 
Viren-Datei aktualisiert und damit 
überschrieben werden und dann im 
Falle einer Vireninfektion nicht mehr 
zur Identifizierung herangezogen 
werden können! 


° Remove Anti-Vir.Dat files: Anti- 
Viren-Dateien werden entfernt. 

° Do not change anything: Das 
Setup-Programm nimmt keinerlei 
Veränderungen vor. 

* Hide Anti-Vir.Dat files: Die 
Anti-Viren-Dateien bleiben un- 
sichtbar. 

° Make executables readonly: 
.EXE-Dateien werden mit Schreib- 
schutzattribut versehen 

« Clear readonly attributes: 
Schreibschutzattribute werden ent- 
fernt. 

° Sub-Directory Scan: Auch Un- 
terverzeichnisse werden überprüft. 


Die Optionen für das Setzen von 
Markierungszeichen sind zusammen- 
gefaßt im Flags menu. Wenn Sie die 
vom Programm standardmäßig vor- 





Das Setup-Programm sollte auf keinen 
Fall unnötig und willkürlich aufgeru- 
fen werden, sondern nur, wenn ein Anlaß 
dafür besteht, wenn Sie beispielsweise ein 
neues Programm auf Ihrem Rechner instal- 
liert haben. 

Wenn das Setup-Verfahren einmal ord- 
nungsgemäß abgelaufen ist und damit für 
alle Programmdateien Prüfsummen ange- 
legt worden sind, ist es weder erforderlich 
noch ratsam, das Setup-Programm erneut 
zu starten. Der Virenschutz wird dadurch 
nicht erhöht - im Gegenteil! 








‚ANWENDER-TIPS 





eingestellten Markierungszeichen 
übernehmen wollen, was zu empfeh- 
len ist, aktivieren Sie die Option Use 
normal flags. Die Optionen Set flags 
manually und Reset flags manually 
sollten nur von sehr erfahrenen 
und fachkundigen Anwendern 
eingesetzt werden. Nähere Informa- 
tionen dazu erhalten Sie in der Do- 
kumentation zum Setup-Menü. Die 
Anweisung Define flags bietet die 
Möglichkeit, Markierungszeichen zu 
definieren, die - abweichend vom 
Standardverfahren - nicht gesetzt 
werden sollen. 

Das Menü Data file path/name 
wird aufgerufen, wenn Name und 
Pfad der Spezialdatei TBSETUP.DAT 
geändert werden soll. 

Diese Spezialdatei ist nichts ande- 
res als eine Liste von Dateien, die 


unter normalen Umständen Verdacht 


erwecken und Virenalarm auslösen 
würden. 


View Data file: Unter diesem 
Menüpunkt können alle erforderli- 
chen Informationen über die Spe- 
zialdatei TBSETUP.DAT abgerufen 
werden. 


Stellen Sie sich vor, Sie lassen das Setup- 
Programm erneut laufen, nachdem sich un- 
bemerkt ein Virus in Ihr System eingeschli- 
chen hat. Was passiert? - Sie laufen Gefahr, 
daß die Prüfdaten in den Anti-Viren-Files 
den veränderten Informationen der infizier- 
ten Dateien entsprechend aktualisiert und 
überschrieben werden! Das aber würde be- 
deuten, daß die Originaldaten der intakten 
Datei endgültig verloren wären und nicht 
mehr zur Virenerkennung und zur Restau- 
rierung herangezogen werden könnten! 












Den Ablauf des 
Setup-Verfahrens 
können Sie am Mo- 
nitor verfolgen. 
Achten Sie vor 
allem auf Markie- 
rungszeichen, die 
vom Programm ge- 
setzt werden und 
die auf Verände- 
rungen aufmerk- 
sam machen! 


Aktivie- 

ren Sie 

unbe- 

dingt 
die Option: only 
new files. 


Use 

normal 

flags ak- 
tiviert die Standard- 
Optionen des Pro- 
gramms. 


Set 
flags 
man- 
ually 

und Reset flags 
manually sollten 
nur von sehr erfah- 
renen und fachkun- 
digen Anwendern 
eingesetzt werden. 


Aktivie- 
ren Sie 
das 
Setup- 
Programm nur bei 
konkretem Anlaß - 
z.B. nach Installa- 
tion eines neuen 
Programms. 
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Confi 
TbSet 
TbSca 
TbUti 
TbCLe 
TBAU 

Docum 
Regis 
Quit 

eXit 


Soll die 
(I gesamte 

Festplatte 
gescannt werden, so 
bestätigen Sie 
TBSCAN C:\ 





TbScan menu 
Start scanning 
Files/Paths 
Options menu 
Advanced options 
If virus found 
Te ER 
View Log file 


(no save) 


to scan 


inen wichtigen Part in den 
[] TBAV-Utilities zur Virenerken- 

nung und Virenbekämpfung 
spielt der Virenscanner TBSCAN, 
den Sie nach dem Konfigurations- 
menü und dem Setup-Programm an 
dritter Stelle im TBAV-Hauptmenü 
finden. 

Das Programm TBSCAN läuft auf 


Aut Herz und Nieren 


jedem PC und beansprucht lediglich | 


200 KB Speicherplatz und zusätzlich 
16 KB, wenn Sie sich entschließen 
sollten, das optional angebotene 
Logfile zu benutzen. Wird das Pro- 
gramm über das Hauptmenü akti- 
viert, so erscheint das Menü TB- 
SCAN, das verschieden Menüpunkte 
und Optionen anzeigt: 


+ Start Scanning 

« Files/Paths to scan 
° Options Menu 

e Advanced Options 
« |f virus found 

« Logfile menu 

« View logfile 


Um das Scan-Verfahren in Gang 
zu setzen, können Sie je nach 
Wunsch die erste oder die zweite 
Menüoption wählen. Soll die 
gesamte Festplatte gescannt 








Wenn Sie keinen Dateinamen, 
sondern nur Laufwerk und Verzeich- 


nis re auch die Unter- 


verzeichnisse@inbezogen. Wird dage- 
gen ein Dateiname spezifiziert, so 
hält sich das Programm genau an 
den vorgegebenen Pfad und scannt 
nur die benannte Datei, ohne daß 
mögliche Unterverzeichnisse berück- 
sichtigt werden. 

Ähnlich wie beim Setup ist der 


| Bildschirm auch beim Scan-Verfahren 


in drei Fenster aufgeteilt: Das 
obere Fenster ist auch hier dazu be- 


stimmt, wichtige Informationen anzu- 


zeigen. Entdeckt TBSCAN eine infi- 


zierte Datei, so erfolgt in diesem Fen- 


ster die entsprechende Meldung. Im 
Hauptfenster links unten können 
Sie verfolgen, welche Dateien gerade 
gescannt werden, und was dabei im 
einzelnen geschieht. Im Status-Fen- 
ster unten rechts schließlich erfah- 
ren Sie wiederum, wieviele Dateien 
gescannt und wieviele Viren ausfin- 
dig gemacht wurden. Außerdem wird 
dort angezeigt, welches File-System 
verwendet wird - DOS oder das pro- 
grammeigene System („OWN“). TB- 
SCAN ist nämlich in der Lage, Da- 
teien direkt von der Festplatte zu 
lesen, unter Umgehung des Betriebs- 
systems, was sowohl die Sicherheit 
wie auch die Geschwindigkeit des 
Scan-Verfahrens erhöht. 


Der Virenscanner 


 TBSCAN wird über das 


Menü aktiviert. Soll die 
ganze Festplatte über- 
prüft werden, so wird 
der erste Menüpunkt 
Start Scanning aufge- 
rufen. 


auptfenster 






27° Schauen wir uns nun genauer an, 
"was sich im Hauptfenster abspielt: 
Das erste Feld links nimmt den Da- 
teinamen auf. Im zweiten Feld wird 
das Verfahren beschrieben. Im fol- 
genden Feld erscheinen die Markie- 
rungszeichen, die bei der heuristi- 
| schen Analyse gesetzt werden, und 
im letzten Feld schließlich erfahren Sie 
das Ergebnis des Prüfverfahrens. 
Die Angaben im zweiten Feld, die 
das laufende Verfahren beschreiben, 
beziehen sich auf die unterschiedli- 
chen Such-Algorithmen, die je 
nach Datei vom Programm einge- 
setzt werden. Folgende Angaben sind 
möglich: 


* looking 
checking 
° tracing 
° scanning 
e skipping 


Nähere Informationen dazu ent- 
nehmen Sie der TBSCAN-Dokumen- 
tation. 

Entdeckt TBSCAN eine infizierte 
Datei, so wird dies umgehend gemel- 
det. Welche Konsequenzen Sie in 
einem solchen Falle ziehen können, 
wird weiter unten besprochen. An 
dieser Stelle wollen wir zunächst auf 
die möglichen Meldungen einge- 
hen, die bei einem Virenbefall im 
entsprechenden Info-Fenster ausge- 
geben werden: 


* Infected by [xy]virus - die 
Datei ist von dem in Klammern 
genannten Virus infiziert; 





Dropper of [xy]virus - die 
Datei ist nicht selbst infiziert, ent- 
hält aber einen Bootsektor-Virus, 
der sich von der Datei aus im 
Bootsektor einnisten könnte; 
Damaged by [xy]virus - die 
Datei ist beschädigt, enthält aber 
- im Unterschied zu einer infizier- 
ten Datei - den Virus nicht mehr; 
+ Overwritten by [xy]virus - die 
Datei wurde überschrieben; 

° Is Trojan named - Vorsicht! Die 
Datei entpuppt sich als Trojani- 
sches Pferd und sollte so schnell 
wie möglich gelöscht werden! 

» Is Joke named - es handelt sich 

um einen Scherz, ein Virenbefall 

wird nur simuliert. 


„Trojanische Pferde" 


Trojanische Pferde vervielfältigen 
sich nicht. Diese Spezies zählt des- 
halb auch nicht zu den Viren im en- 
geren Sinne, vielmehr handelt es sich 
um eine nicht minder gefährliche 
Abart, die ebenfalls nicht unter- 
schätzt werden sollte. Wie der Name 
es schon verrät, schleichen sich Troja- 
nische Pferde getarnt und in schein- 
bar harmloser Absicht in das System 
ein, um dort ihr zerstörerisches Werk 
zu verrichten. 

In bestimmten Fällen wird vom 
Programm die zusätzliche Menü- 
option Validate angeboten, die einer 
kurzen Erklärung bedarf: 

Wie Sie noch vom vorangegange- 
nen Kapitel über das Setup-Pro- 
gramm wissen, gibt es Dateien, die 
sich anders als normale Dateien 
verhalten und für die deshalb so 
etwas wie Ausnahmeregeln gelten. 
Um unnötigen Fehlalarm zu vermei- 
den, werden bei diesen Dateien die 
sonst üblichen Markierungszeichen 
bei Veränderungen und Unregel- 
mäßigkeiten nicht gesetzt. Wenn nun 


Main menu 
Confi 
TbSet 
TbSca 
Tbuti 
TbCLe Advanced option 
TBAU If 
Docum 


TbScan menu 
Start scanning 
Files/Paths to 
Options menu 


scan 


virus found 


Log file menu 


Enter disk / path / file(s) to process: 


EN 


Main menu 
Confi —Tb5can menu 1 
TbSet Start TbScan options= 
TbSca| File Use TBAV.INI file 
Tbuti 1270) Prompt for pause 
TbCLe Quick scan 
TBAU Non-executable 
Docum 
Regi 
Quit 
eXit (no save 


scan 


Bootsector 
Memory scan 
HMA scan forced 
Upper memory 
Sub-Directory scan 


scan 


Repeat scanning 
Abort on Ctrl-Break 


bei der heuristischen Analyse einer 
solchen Datei eine mögliche Infizie- 
rung entdeckt wird, so wird in dem 
Fenster, in dem die Virenmeldung er- 
scheint, die Option Validate program 
angeboten. Wenn Sie sich ganz sicher 
sind, daß bei der betreffenden Datei 
kein Virus im Spiel ist, bestätigen Sie 


ANWENDER-TIPS 


Sie wissen jetzt, wie TBSCAN funktio- 
niert und welche Menüpunkte und Optio- 
nen Ihnen im einzelnen zur Verfügung ste- 
hen. Nun möchten Sie sicherlich auch er- 
fahren, wann Sie TBSCAN einsetzen und 
wie Sie dabei vorgehen sollten. 

Einmal wöchentlich sollten Sie sich 
unbedingt die Zeit nehmen, TBSCAN von 
einer bootfähigen und schreibgeschützten 
Diskette aus zu starten. Nur so können Sie 
einigermaßen sicher sein, daß sich in Ihrem 
Speicher kein Tarnkappen- oder Stealth- 
Virus einschleicht. Falls Sie bis jetzt noch 
keine entsprechende Boot-Diskette für 
TbScan angefertigt haben, so sollten Sie 
dies jetzt tun. Gehen Sie dabei folgender- 
maßen vor: Booten Sie Ihren PC von Ihrer 
Original-DOS-Diskette aus und kopieren Sie 


die DOS-Diskette mit dem Befehl diskcopy 
auf eine neue Diskette. Dann löschen Sie 
auf dieser neuen Diskette alle Dateien, aus- 
genommen die beiden versteckten System- 
dateien und die Datei COMMAND.COM. 
Dann kopieren Sie alle TBSCAN-Dateien 
auf die Diskette und legen eine neue AU- 
TOEXEC.BAT an, die die Zeile 


TbScan C:\ 


enthalten sollte. Abschließend versehen 
Sie Ihre Boot-Diskette mit einem Schreib- 
schutz. 

Für die tägliche Sicherheitsroutine 
genügt es, wenn Sie TBSCAN ganz normal 
vom Verzeichnis Ihrer Festplatte aus aufru- 
fen und in Aktion treten lassen. 





Maximum Compatibility 





ngs will also 


BU, The Netherlands. 


Wenn ein bestimm- 
tes Laufwerk oder 
Verzeichnis gescannt 
werden soll, aktivie- 
ren Sie den Menü- 
punkt Files/Paths to 
scan und geben den 
gewünschten Pfad in 
der entsprechenden 
Eingabemaske ein. 


Das Optionen- 
Menü bietet die 
Möglichkeit, auf 
den Ablauf des 
Scan-Verfahrens 
Einfluß zu nehmen. 


diese Option. Damit erreichen Sie, 
daß künftig kein Fehlalarm mehr er- 
folgt. Und noch ein weiterer Zusatz 
bei einer Virenmeldung ist möglich 
und soll nicht unerwähnt bleiben: Es 
kann vorkommen, daß TBSCAN 
einen Virus vermutet, ohne daß 
dieser Verdacht durch eine Signatur 
verifiziert werden kann. In einem sol- 
chen Falle wird der Meldung „infec- 


ted“ der einschränkende Hinweis (IE Falls 
„probably“ (vermutlich) oder „might u 


be” (möglicherweise) hinzugefügt. Virus nur vermutet, 


ihn aber nicht verifi- 
zieren kann, wird 
der Hinweis „proba- 
bly" oder „might 
be" gegeben. 


Optionen 


Wie TBSCAN beim Scannen im 
einzelnen vorgeht, das hängt von 
den Optionen ab, die durch die ent- 
sprechenden Parameter in der DOS- 
Kommandozeile bzw. unter den 
Menüpunkten Options Menu und Ad- 
vanced options im Hauptmenü des 
Programms aktiviert werden können. 

Das Options Menu enthält die fol- 
genden Anweisungen: 


° Use TBAY.INI file: vgl. dazu die 
entsprechenden Erklärungen auf 
S:7. 


Nach der Viren- 
Meldung wird eine 
Warnung einge- 
blendet: 

TBSCAN hat den 

, Tequila-Virus aus- 
findig gemacht. 


Die Op- 
tion ex- 
tract sig- 
natures 
ist nur in der regi- 
strierten Vollversion 
des Programms ver- 
fügbar und braucht 
uns hier nicht zu be- 
schäftigen. 


Mit der 
er Option 

Auto heu- 
ristic sensitivity 
schaltet das Pro- 
gramm erst bei 
Verdacht auf die 
sensiblere Stufe 2 
um. 





No checksum 


Found an instruction decryption routine 


recovery information (Anti-Vir.Dat) available 


This is 


common 


for viruses but also for some protected software 


Incorrect timestamp 


Garbage instructions 
other than encryption or avoiding recognition by virus scanners 


)elete, R)ename, 
)ontinue (do nothing), 


° Prompt for pause: Pause nach 
jedem Meldefenster 
° Quick scan: Nur Dateien mit ver- 
änderter Prüfsumme oder ohne 
Prüfsumme werden (mit Hilfe der 
Anti-Virus-Dateien) gescannt 
Non-executable scan: Alle Da- 
teien werden gescannt (auch 
nicht-ausführbare Dateien) 
Maximum Compatibility: Eine 
maximale Kompatibilität des Pro- 
gramms mit dem System wird an- 
gestrebt. Das Verfahren wird 
damit freilich verlangsamt! 
Bootsector scan: Der Bootsektor 
wird gescannt 
° Memory scan: Der Arbeitsspei- 
cher wird gescannt 
« HMA scan forced: Der HMA- 
Speicher wird gescannt. 
° Upper memory scan: Auch der 
Speicherbereich des upper memory 
wird gescannt. 


terverzeichnisse werden gescannt. 
Repeat scanning: Mehrere Dis- 
ketten werden gescannt, ohne daß 
das Programm zwischendurch zur 
DOS-Prompt zurückkehrt; R 
Abort on Ctrl-Break: Wenn. 
diese Option aktiviert ist, k 
Scan-Verfahren abgebroch@n wer- 
den. 


Advanced Options 


Für eine besonders eingehende 
und kritische Überprüfung Ihrer Da- 
teien stehen Ifnen im Zusatzmenü 
Advanced options noch folgende Op- 
tionen zur Auswahl: 


° High heuristic sensivity 
Auto heuristic sensivity 
*® Low heuristic sensivity 









)onStop continue, 


Sub-Directory scan: Auch Un- A 








Some viruses use this to mark infected files 
Contains code that seems to have no purpose 


Juit TbScan? 





version des Programms verfügbar 
und braucht uns hier nicht zu be- 
schäftigen. Die anderen drei Optio- 
nen, die die Intensität der heuristi- 
schen Analyse betreffen, bedürfen je- 
doch einer kurzen Erläuterung: 

Wie bereits ausgeführt, ist die 
heuristische Analyse darauf ausge- 
richtet, verdächtige Befehlssequenzen 
in Programmdateien aufzudecken. 
Grundsätzlich 













Auf Stufe 1 low heuristic 
ist die Toleranzschwell 
Virenw i 
hoch angeset; 
Bei Virenverd: 
entsprechend 

















arkierungszeichen 
jedoch keine 

ne Warnung 
sgegeben, wenn die heu- 
Analyse auf Stufe 2 ab- 
die Option high heuristic 
ingestellt ist. Wird dieser 
efttsprechend eine heuristi- 
Voll-Analyse auf Stufe 2 vor- 
nommen, so reagiert das Pro- 
amm also sehr viel sensibler, als 


| dies auf Stufe 1 der Fall ist. Was wird 


damit erreicht? 

Die Wahrscheinlichkeit, daß ein 
noch nicht identifizierter Virus auf 
diese Weise entdeckt wird, ist sehr 
viel höher als beim Standard-Verfah- 
ren. Für diesen Gewinn an zusätzli- 
cher Sicherheit muß freilich das Ri- 
siko häufigeren Fehlalarms in 
Kauf genommen werden. 

Wenn Sie sich nicht sicher sind, 
welche Option sie einstellen sollen, 
ob /ow heuristic sensitivity oder high 
heuristic sensitivity vorzuziehen ist, 
bietet Ihnen die Option Auto heuri- 
stic sensitivity einen vernünftigen 
Ausweg. Mit dieser Option erreichen 
Sie, daß TBSCAN standardmäßig das 


low-level Verfahren auf Stufe 1 an- 
“wendet, bei Verdacht auf einen 
Virus jedoch automatisch auf 
die high-sensitivity Stufe 2 über- 
wechselt, auch wenn die Option 
high heuristic sensitivity nicht akti- 
viert ist. 

Die Markierungszeichen, die von 
TBSCAN gesetzt werden, können aus 
kleinen oder großen Buchstaben be- 
stehen. Kleine Buchstaben haben 
eher geringe Bedeutung, große Buch- 
staben hingegen weisen auf eine 
ernstere Gefahr und möglicherweise 
auf einen Virus hin. 


Was geschieht wenn ein Virus 
entdeckt wurde? 


Auch hier stehen Ihnen verschie- 
dene Möglichkeiten offen, die unter 
dem Menü /f virus found aufgelistet 
sind 'und aktiviert werden können: 


« Present action menu 

e Just continue (log only) 
« Delete infected file 

« Rename infected file 


Wenn die erste Option Present ac- 
tion menu eingestellt ist, werden Sie 
bei einer Virenmeldung aufgefordert, 
eine der im Anschluß aufgeführten 
Optionen oder Anweisungen zu be- 
stätigen. 

Entscheiden Sie sich für die Op- 
tion Just continue (log only), so ge- 
chieht nichts weiter, als daß die infi- 
zierte Datei in das Logbuch aufge- 
nommen wird. Ein solches Logbuch 
wird von TBSCAN angelegt, um In- 
formationen über infizierte Dateien 
dort zu sammeln. 

Wenn die Option Delete spezifi- 
ziert ist, wird die befallene Datei 
gelöscht. 

Ist die Rename-Option aktiviert, 
wird der erste Buchstaben in der 
Datei-Erweiterung durch den Buch- 
staben „V" ersetzt und die Datei auf 
diese Weise umbenannt. Damit errei- 
chen Sie, daß das infizierte Pro- 
gramm nicht mehr aufgerufen 
und der Virus nicht weiterver- 
breitet werden kann. Das Programm 
wird jedoch nicht gelöscht, sondern 
kann gegebenenfalls von Viren be- 
freit und repariert werden. 


Das Logbuch 


Wenn Sie sich entschließen, ein 
Logbuch zu verwenden, in dem Infor- 
mationen über infizierte Dateien ge- 
sammelt werden, so steht Ihnen hier- 
für ein eigenes Log-Menü mit ver- 
schiedenen Optionen zur Verfügung. 
Unter dem ersten Menüpunkt Log 
file path/name können Sie Lauf- 





werk, Verzeichnis und Namen des 


Log-files festlegen. Standardmäßig 
legt TBSCAN die entsprechende 
Datei unter dem Namen 
TBSCAN.LOG im aktuellen Verzeich- 
nis an. Wenn Sie die folgende Op- 
tion Output to log file bestätigen, 
wird das Logbuch automatisch vom 
Programm erstellt. Nun brauchen Sie 
nur noch zu entscheiden, welche Da- 
teien im einzelnen in das Logfile ein- 
bezogen werden sollen. Dazu rufen 
Sie das Untermenü Specify log level 
auf. Insgesamt stehen Ihnen 5 
verschiedene Levels zur 
Verfügung: 


0 nur infizierte Dateien werden ge- 
logt. Wurden keine infizierten Da- 
teien gefunden, so wird das Log- 
buch nicht erstellt bzw. nicht 
überschrieben, 

1 wie bei Level O, zusätzlich wird ein 
„summary" und ein „timestamp" 
in die Log-Datei eingetragen, 

2 jedoch auch verdächtige Dateien 
aufgenommen, 

3 wie bei Level 2, zusätzlich werden 
auch Dateien einbezogen, die 
beim Scannen mit einem Warnzei- 
chen versehen werden, 





Erste Hilfe am Unfallort 


Was tun, wenn das System oder Dateien von 
einem Virus infiziert sind? 

1. Schalten Sie den Rechner für mindestens 
10 Sekunden aus! Ein Reset genügt 
nicht, da viele Viren einen Warmstart 
überleben. 

2. Booten Sie den Rechner erneut von einer 


schreibgeschützten DOS-Diskette. 

3. Starten Sie darauf TBSCAN oder einen 
anderen Viren-Scanner ebenfalls von 
einer schreibgeschützten Diskette und 
nicht von der Festplatte aus. Erst wenn 
Sie sicher sind, daß der Hauptspeicher vi- 
renfrei ist, gehen Sie daran, die Dateien 
auf der Festplatte zu scannen. 

4. Vergessen Sie nicht, auch den Master- 


4 alle Dateien (auch die nicht infi- 
zierten) werden im Logfile aufge- 
nommen. 


Wünschen Sie, daß auch die heuri- 


stische Analyse bzw. die Beschrei- 
bung dieser Analyse im Logfile er- 
scheinen soll, deaktivieren Sie die 
Option No heuristic descriptions; und 
wenn Sie sichergehen wollen, daß 
eine schon existierende Logdatei 
nicht überschrieben wird, dann be- 


Bootsektor der Festplatte zu überprüfen. 

5. Haben Sie den Virus aufgespürt, löschen 
Sie die infizierten Dateien. Oder Sie ver- 
suchen mit Hilfe von TBCLEAN, die ver- 
seuchten Dateien zu säubern und den 
Virus zu entfernen. 

6. TBCLEAN ist kein Backup-Ersatz und 
auch keine Dauerlösung. Infizierte Pro- 
grammdateien sollten auch nach erfolg- 
reicher Desinfizierung nicht weiterver- 
wendet werden. Arbeiten Sie deshalb 
grundsätzlich nicht mit Originaldisketten, 
sondern mit Sicherungskopien, und neh- 
men Sie sich die Zeit, die betroffenen Pro- 
grammdateien mit Hilfe der Originaldis- 
ketten neu zu installieren. 





stätigen Sie die Anweisung Append 
to existing log. 

Bleibt abschließend noch der 
letzte Menüpunkt View log file im 
Hauptmenü von TBSCAN zu erwäh- 
nen. Dieser Menüpunkt gibt Ihnen 
Gelegenheit, sich ein bestehendes 
Logbuch anzusehen. Je mehr Erfah- 
rung Sie im Umgang mit den Thun- 
derbyte-Utilities gesammelt haben, 





lich das „Blättern” im Logbuch sein. 


WIE ARBEITET EIN VIRENSCANNER? 


Scanner sind gewissermaßen die Spür- 
hunde auf der Jagd nach Computerviren. 
Sie durchforsten die Bereiche, in denen 
Viren sich allgemein einzunisten pflegen 
- den Bootsektor und die Programm- 
dateien. Worum geht es bei dieser Suche 
konkret? 

Das Ziel besteht darin, den Programm- 
code des Virus zu knacken und die unge- 
betenen Gäste auf diese Weise dingfest 
zu machen. Damit nicht der gesamte 
Code durchkämmt werden muß, be- 
schränken Scanner ihre Suche auf die 
markanten Strings oder Zeichenketten, 
das heißt auf die Bytesequenzen, die für 
den Virus typisch sind - die sogenannten 
Kennungen oder Signaturen. 


So weit so gut. Doch die Sache hat 


einen Haken: Sie setzt voraus, daß der 
Virus bekannt ist, und sie funktioniert nur, 
wenn die den Virus entlarvende Zeichen- 
kette oder Signatur im Programm des 
Scanners bereits eingebaut ist. Und 


genau das ist der Schwachpunkt der 
herkömmlichen Scanner: Fixiert auf 


konstante Zeichenketten und Virensigna- 


turen, sind sie gegen Viren, die noch nicht 
identifiziert sind oder die sich geschickt 


zu tarnen oder zu modifizieren verstehen, 
so gut wie machtlos! 


TBSCAN ist mehr als nur ein ge- 
wöhnlicher Scanner. Das Programm ist 
nicht nur in der Lage, mehr als 2500 Vi- 
rensignaturen in bislang unerreichter Ge- 
schwindigkeit zu erkennen, es vermag 
auch, neuen, noch unbekannten 


Viren auf die Spur zu kommen! 


TBSCAN kombiniert verschiedene Metho- 
den und Techniken in einem Programm: 
Integritäts-Check, Signaturen-Scan- 
nen und „heuristische" Analyse. 


Integritäts-Check 

Beim Integritäts-Check wird über- 
prüft, ob auf der Festplatte irgendwelche 
unzulässigen Veränderungen vorgenom- 
men wurden. Dabei werden logischer- 
weise nur die Bereiche überprüft, die 
grundsätzlich nicht verändert werden soll- 
ten, also das Betriebssystem und alle 
Arten von Anwendungssoftware, nicht 
aber Ihre persönlichen Arbeitsdateien. 

Um unerlaubte Manipulationen fest- 
stellen zu können, werden für alle Pro- 
grammdateien auf der Festplatte Prüf- 
summen errechnet. Bei einer späteren Vi- 
renüberprüfung werden die Daten der 
Originaldatei mit den Daten der aktuell 
vorliegenden Datei verglichen. Ergeben 
sich Abweichungen, so besteht zumindest 
der Verdacht, daß ein Virus am Werke 
war, denn keine Datei bleibt bei einer Vi- 
reninfektion unverändert. 

Um eine Integritätsprüfung und einen 
Prüfsummenvergleich vornehmen zu kön- 
nen, benötigt TBSCAN das Hilfspro- 
gramm TBSETUP, das Sie im vorausge- 
gangenen Kapitel ja schon kennengelernt 
haben. Sie erinnern sich sicherlich: TB- 
SETUP legt zu jeder in Betracht kommen- 
den Datei eine spezielle Anti-Viren-Datei 
an, in der die wichtigen Informationen - 
sprich Prüfsummen - gespeichert werden. 
Wird eine Datei von einem Virus infiziert, 


so wird sie zwangsläufig in irgendeiner 
Form verändert. Dadurch stimmen die in 
der Anti-Viren-Datei gespeicherten Infor- 
mationen mit den Informationen der infi- 
zierten Ausgangsdatei nicht mehr übe- 
rein. TBSCAN überprüft automatisch alle 
Dateien, für die eine Anti-Viren-Datei an- 
gelegt wurde, und gibt bei jeder Abwei- 
chung oder Veränderung, die entdeckt 
wird, eine entsprechende Meldung aus. 
So viel zum Integritäts-Check. 


Heuristische Analyse 

Was heißt „heuristisch"? Was hat man 
sich unter einer „heuristischen" Analyse 
vorzustellen? 

Anders als beim herkömmlichen Scan- 
nen werden beim „heuristischen” Verfah- 
ren keine Virensignaturen benötigt. 
Die Vorgehensweise ist weniger byte- als 
vielmehr befehlsorientiert. Das Ziel dieses 
Vorgehens ist es, verdächtige Pro- 
grammbefehle aufzuspüren. Dies wird 
mit Hilfe eines Disassemblers ermöglicht. 
Dank dieses Disassemblers ist TBSCAN in 
der Lage, Programmbefehle zu interpretie- 
ren, das heißt in diesem Falle: auf ihre Ab- 
sicht hin zu überprüfen. 

Stößt TBSCAN auf Instruktionen, die 
Verdacht erwecken und auf einen Virus 
schließen lassen - beispielsweise den Be- 
fehl, Dateien zu überschreiben oder die 
Festplatte neu zu formatieren - so werden 
vom Programm automatisch Markierungs- 
zeichen gesetzt, die auf einen möglichen 
Virenbefall aufmerksam machen und ge- 
gebenenfalls Alarm auslösen. 





desto interessanter kann für Sie näm- 


Einmal 

wöchent- 

lich soll- 
ten Sie sich unbe- 
dingt die Zeit neh- 
men, TBSCAN von 
einer bootfähigen 
und schreibge- 
schützten Diskette 
aus zu starten. 
Für die tägliche Si- 
cherheitsroutine 
genügt es, wenn Sie 
TBSCAN ganz nor- 
mal vom Verzeichnis 
Ihrer Festplatte aus 
aufrufen und in Ak- 
tion treten lassen. 


Legen 
Sie un- 
bedingt 
eine 
bootfähige Dis- 
kette mit TBSCAN 


earl Agency - License 10 PCs 





Wehret den Anfängen 


Mit die- ie Sie bereits wissen, ist eine 
sem Be- besondere Spezies der Compu- 
fehl wer- ; ; 

terviren speziell darauf abge- 


den alle wichtigen 
Bootsektor-, Master- 
Bootsektor- und 
CMOS-Informationen 
in der TBUTIL-Datei 


richtet, die Partitions-Tabelle und 
den Bootsektor von Disketten und 
Festplatten zu infizieren. Ist ein Boot- 


BSEDRIERAEN gen, so liegt der gefährliche Ein- 
dringling fortan bereits beim Boo- 
ten im Speicher auf der Lauer, 
darauf bedacht, neue Programme zu 
verseuchen, während der Anwendaf 
nichts Böses ahnend auf das End@ 

Sichem des Bootvorgangs wartet. 
q Sie unbe- Das Programm TBUTIL hat die 
© dingt die Aufgabe, diesen besondersdheim- 

Dateien tückischen Datenkillern das Ha 


TBUTIL.DAT und das 
Programm auf einer 
extra Diskette! 


werk zu legen. TBUTIL speich 
nicht nur alle wichtigen Dafei de 
Bootsektor-, des Master-Bootsektor- 
und des CMOS-Bereichs/ Im Falle 
eines Falles ist das Programm auch 
in der Lage, ein iyneuen, virus- 
residenteren 96a und Master- 
Bootsektor züır Verfügung zu 
stellen. Hat ein Virus den Master- 
Bootsektor oder die Partitions-Tabelle 
der Festplatte befallen, so vermag 
TBUTIL den Virus zu entfernen, ohne 
daß die Festplatte low-level-for- 
matiert werden muß, selbst wenn 
iionsslabelle kein 








sektor-Virus in das System eingedrun- 


k 


unter DOS (Version 3.0 u 

zusammen und beanspryc 

mehr als 64 KB RAM, 
Nach 


höher) 


















scheinifel | mit folgen- 
den Menüpun 

ce menu 
“ tsector A: 


em maintenance 

Bist dazu da, wichtige System- 
ätionen zu speichern, zu ver- 
Eichen und gegebenenfalls wieder- 


Eherzustellen. Wird dieses System- 


Menü aktiviert, so öffnet sich noch 
einmal ein Untermenü, das alle Op- 
tionen beinhaltet, die im Falle einer 
Infizierung benötigt werden. 
Zunächst muß die Datei angelegt 
werden, die die entsprechenden In- 
formationen und Systemdaten auf- 
nimmt. Dazu wählen Sie den Menü- 
punkt Execute TbUtil. Als Dateiname 


und Pfad ist A:\TBUTIL.DAT vorgege- 


ben. Soll die Datei einen anderen 
Namen oder Pfad erhalten, so 
wählen Sie den folgenden Menü- 
punkt Name of TbUtil data file. 
Erscheint es Ihnen sinnvoll, den 
Rechner zu benennen, auf den sich 
die Daten in der TBUTIL-Datei bezie- 
hen, so aktivieren Sie die Option 





Describe this machine und geben im 
folgenden Eingabefeld eine Kurzbe- 
schreibung ein. 

Ganz wichtig ist der nächste 
Menüpunkt Save system configura- 
tion. Mit diesem Befehl werden alle 
wichtigen Bootsektor-, Master- 
Bootsektor- und CMOS-Informa- 
tionen in der TBUTIL-Datei ge- 
speichert. 

Wenn Sie sicher sein wollen, daß 
eine Infizierung Ihres Systems durch 
einen Bootsektor-Virus sofort be- 
merkt wird, so aktivieren Sie die fol- 
gende Option Compare system infor- 
mation. 

Hat sich tatsächlich ein Bootsektor- 
Virus in Ihrem System eingeschlichen, 
so wählen Sie den Befehl Restore sy- 
stem configuration, um Bootsektor, 
Partitions-Tabelle und CMOS-Be- 
reich wiederherzustellen. 

Wollen Sie den Befehl dahinge- 
hend einschränken, daß nur der 
CMOS-Speicher, die Partitions- 
Tabelle oder der Bootsektor re- 
stauriert wird, so aktivieren Sie nach 
dem Restore-Befehl die entspre- 
chende Zusatzoption Process CMOS- 
Memory, Process Partition Code oder 
Process Bootsector. 


Die Immun-Funktionen 


Zusätzliche Sicherheit zur Speiche- 
rung der Systemdaten gewährt die 
Funktion Immunize im Hauptmenü 
on TBUTIL. Je nach Bereich können 
Sie die Option Immunize/clean für 
den Bootsektor im Diskettenlaufwerk 


| A oder B oder für die Partitions-Ta- 


belle der Festplatte wählen. 

Der Befehl Immunize/clean parti- 
tion code gibt Ihnen Gelegenheit, 
den Partitions-Code der Fest- 
platte nach einer Infizierung durch 
einen Master-Bootsektor-Virus zu 
säubern und durch einen neuen, voll 
kompatiblen, aber virus-residente- 
ren Code zu ersetzen. Es empfiehlt 
sich aber in jedem Falle, den Ori- 
ginalcode mit dem Befehl 


TbUtil store a:tbutil.dat 


auf einer Sicherungsdiskette in der 
Datei TBUTIL.DAT zu speichern. 

Noch ein Hinweis zum Schluß: 
Wenn die Partitions-Tabelle von 
einem Virus befallen und beschädigt 
wurde, kann das Betriebssystem nicht 
mehr auf die Festplatte zugreifen, so 
daß Ihnen die Sicherungsdateien und 
Rettungsprogramme auf Ihrer Fest- 
platte in einem solchen Falle wenig 
nützen. Um vorzubeugen und auf 
Nummer Sicher zu gehen, sollten Sie 
deshalb unbedingt sowohl die Datei 
TBUTIL.DAT wie das Programm TB- 
UTIL auf einer Diskette sichern! 


— Main menu —— 
Confi 


TbSet 
TbSca 
TbUti 
TbCLe 
TBAU 

Docum 


Start cleaning 
List file name 
Use TBAV.INI file 


Prompt for pause 
Use Anti-Vir.Dat 
Expanded memory 
Show program Loops 
List file 


Make 


——Tbllean menu — 


Keiner wäscht reiner 


ie alle Utilities im Programm- 
17] paket von TBAV läuft auch 

TBCLEAN auf jedem Stan- 
dardrechner unter DOS ab Version 
3.0. Das Programm benötigt minde- 
stens 96 KB Speicherplatz. Beim 
heuristischen Verfahren ist aller- 
dings - je nach Dateigröße - sehr 
viel mehr Platz erforderlich. Dabei 
kann auch EMS-Speicher einbe- 
zogen werden. 

Das Menü von TBCLEAN, das 
keine Untermenüs beinhaltet, 
sondern nur einfache Befehle und 
Optionen enthält, wird geöffnet mit 
dem Befehl 


Start cleaning 


Wird der Start-Befehl bestätigt, so 
erscheint sogleich ein Eingabefeld, in 
dem Sie den Namen der Datei, die 
„gereinigt" werden soll, eingeben 
müssen. 

Bevor die Säuberungsprozedur an- 
läuft, wird für die entsprechende 
Datei ein Backup erstellt mit demsel- 
ben Dateinamen, aber mit der Datei- 
Erweiterung .VIR. 

Der Bildschirm beim Ablauf des 
CLEAN-Programms ist ähnlich auf- 
geteilt wie beim SETUP- und SCAN- 
Verfahren: Im unteren Feld kön- 
nen Sie verfolgen, was im Pro- 
gramm im einzelnen abläuft. In 
dem blauen Balkenfeld darüber 


erscheint der Name der Datei, die 
gesäubert und desinfiziert wird, und 
im oberen Teil des Bildschirms 
werden Status-Informationen ausge- 
geben: Im Fenster rechts werden der 
entry point (Eintrittspunkt, Starta- 
dresse), die Dateilänge und die 
Prüfsumme der Datei im Originalzu- 
stand, im Fenster links die entspre- 
chenden Daten im infizierten Zu- 
stand eingeblendet. 

Während des Verfahrens werden 
im oberen Feld über dem Dateina- 
men Meldungen ausgegeben, die 
sich auf das laufende Verfahren be- 
ziehen - zum Beispiel: 








Ein Programm ist infi- 
ziert - TBCLEAN leistet 
Erste Hilfe! Rufen Sie 
das Menü auf und 
wählen Sie den Menü- 
punkt Start cleaning. 


„Starting clean attempt. 
Analyzing infected file ..." - 
TBCLEAN analysiert die infizierte 
Datei und sucht die Aufzeichnun- 
gen in der Anti-Viren-Datei - 
oder: 

* „Anti-Vir.Dat record found: 
reconstructing original 


state..." - Die Aufzeichnungen in (I Vorbeu- 
der entsprechenden Anti-Viren- gen ist 
besser 


Datei wurden gefunden und wer- 
den vom Programm benutzt, um die 
infizierte Datei zu rekonstruieren. 


als heilen! Pflegen 
Sie ein gut durch- 
dachtes Backup, so 
daß selbst bei Vi- 
renbefall keine 
Daten verloren 
gehen. TBCLEAN ist 
nur ein Nothelfer, 
keine Dauerlösung! 


Aus Platzgründen ist es nicht 
möglich, jede einzelne Meldung, die 
vom Programm ausgegeben werden 
kann, zu übersetzen und zu erläu- 
tern. Wer sich eingehender informie- 
ren will, dem sei die Dokumentation 
empfohlen. 

Wie alle Utilities im TBAV-Paket 
stellt auch TBCLEAN eine Reihe von 


| Optionen zur Verfügung, die im 


ANWENDER-TIPS 


Das Programm TBCLEAN ist kein 
Backup-Ersatz und auch kein Alibi für 
entsprechende Unterlassungssünden! 
Die gewissenhafte Anfertigung von Si- 
cherungskopien ist noch immer die 
wirkungsvollste Präventivmaß- 
nahme, um den möglichen Datenver- 
lust Dei einer Vireninfektion in Grenzen 
zu halten. 

Fertigen Sie von jeder Originaldis- 
kette eine Sicherungskopie an und ar- 
beiten Sie grundsätzlich nur mit der 
Kopie und nie mit dem Original, das sie 
schreibgeschützt an einem sicheren Ort 





aufbewahren. Und wenn der Fall eintritt, 
daß ein Virus Ihr System infiziert hat, 
dann betrachten Sie TBCLEAN wie 
auch jedes andere Säuberungspro- 
gramm als Nothelfer und Rettungs- 
anker für den Augenblick, nicht aber 
als Dauerlösung. Aufgeschoben heißt 
nicht aufgehoben. 

Nutzen Sie deshalb die nächste freie 
Stunde, um die betroffenen Programm- 
dateien mit Hilfe der schreibgeschützten 
Originaldiskette neu zu installieren. Auf 
keinen Fall aber sollten Sie ein gesäu- 
bertes Programm weiter verwenden! 


Wenn TBCLEAN 
aktiviert ist, wird 
ein Fenster einge- 

blendet, in dem 

alle wichtigen 
Informationen über 
die Datei, die 
gesäubert wird, 
angezeigt werden. 


Gegen die 
sogenann- 
ten über- 

* schreiben- 
den Viren kann TB- 
CLEAN nichts aus- 
richten. Allerdings 
auch kein anderes 
Anti-Viren-Programm! 


TBCLEAN 

hilft 

Ihnen Zeit 
(und Geld) sparen: 
Es macht bei Viren- 
befall eine Neufor- 
matierung Ihrer 
Platte überflüssig. 


Menü angezeigt sind und die Sie 
zum Teil bereits kennen. 


° List file name: Diese Option 
bezieht sich auf den folgenden 
Menüpunkt 


Stellen Sie sich vor, Sie entdecken, daß Sie 
sich einen Virus eingefangen haben, und 
daß eine ganze Reihe von Dateien auf Ihrer 
Festplatte verseucht sind. Was nun? Der 
Virus wurde dingfest gemacht und identifi- 
ziert, schön und gut, was aber unternehmen 
Sie, um den Schädling wieder loszuwerden 
und den Schaden zu reparieren? Die Platte 
putzen und neu formatieren? Alle Pro- 
gramme neu installieren? Das ist ganz ohne 
Zweifel die sicherste und zuverlässigste Lö- 
sung. Doch diese Lösung ist mühsam und 
kostet viel Zeit. Ganz abgesehen davon, daß 
Ihr Rechner bei einer solchen Aktion vermut- 
lich für Stunden blockiert wäre und wichtige 
Arbeiten liegenbleiben müßten! Als Nothel- 
fer in einer solchen Situation steht Ihnen das 
Säuberungsprogramm TBCLEAN zur Verfü- 
gung. TBCLEAN hat die Aufgabe, infizierte 
Dateien so weit zu säubern, daß sie nach der 
Desinfektion wieder normal gestartet und 
aktiviert werden können, ohne daß Sie Ge- 
fahr laufen, daß es zu einer neuen Infektion 
kommt. Wie geht diese Säuberungsaktion 
vonstatten? Je nach Situation setzt 
TBCLEAN entweder das Repair-Verfahren 
oder die heuristische Methode ein. 


Repair-Verfahren 

Das Repair-Verfahren basiert auf den 
vom SETUP-Programm generierten Anti- 
Viren-Dateien. Wie Sie noch wissen, werden 
in diesen Sicherungsdateien die Informatio- 
nen gespeichert, die benötigt werden, um 
verdächtige Veränderungen und Manipula- 
tionen aufzudecken. Mit Hilfe dieser Infor- 
mationen wie z.B. der ursprünglichen Da- 
teilänge und der kryptographischen Prüf- 
summe ist es möglich, jeden Virus auf- 
zuspüren, egal ob bekannt oder noch 
unbekannt. Um die befallene Datei zu 
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° Make list file: Da dieser Menü- 
punkt nur für registrierte Anwen- 
der verfügbar ist, verzichten wir 
auf eine Erklärung. 

° Use TBAY.INI file: Diese Option 
ist bereits bekannt. 





DAS ENTFERNEN VON VIREN: 
REPAIR UND HEURISTISCH 


desinfizieren, brauchen die entsprechenden 
Daten nur mit Hilfe der Prüfsumme vergli- 
chen und anschließend die Originaldaten 
wiederhergestellt zu werden, und der Scha- 
den ist behoben. 


Heuristisches Verfahren 

So weit so gut. Was aber, wenn es zu 
einer Infektion kommt, bevor das SETUP-Pro- 
gramm abgelaufen ist und die erforderli- 
chen Daten in einer Anti-Virus-Datei gespei- 
chert wurden? Keine Sorge, auch dann ist 
nicht alles verloren. In einem solchen Falle 
springt das heuristische Verfahren in die 
Bresche. Die heuristische Analyse beim 
Scannen - Sie erinnern sich - ist darauf an- 
gelegt, Programmbefehle zu interpretieren 
und auf diese Weise die Spreu vom Weizen 
zu trennen, sprich: Virus-Programme von nor- 
malen Programmen zu unterscheiden. In 
Analogie dazu besteht das heuristische 
Verfahren bei der Virenentfernung 
darin, den Virus in gewisser Hinsicht 
zu imitieren, um ihn - wenn man so will - 
mit den eigenen Waffen zu schlagen! 

Was tut ein Virus, um andere Programme 
zu infizieren? Er schleicht sich in einem Wirts- 
programm ein und hängt seinen Programm- 
Code an den Programm-Code des Wirtspro- 
gramms an. Um die böse Absicht in die Tat 
umsetzen zu können, überschreibt der Virus 
die ersten Bytes des Wirtsprogramms mit 
einem sogenannten jump-Befehl (jump = 
Sprung), übernimmt damit, wenn das Pro- 
gramm aufgerufen wird, selbst die Kontrolle 
und gibt diese Kontrolle zum Schluß wieder 
an das Programm zurück. Da die ersten Bytes 
des Programms jedoch, wie geschildert, mit 
dem jump-Befehl überschrieben wurden, 
muß der Virus selbst diese Bytes wieder re- 
parieren, damit das Programm überhaupt 





° Prompt for pause: Auch diese 
Option kennen Sie schon. 

° Use Anti-Vir.Dat: Wenn dieser 
Befehl deaktiviert wird, setzt 
TBCLEAN nur das heuristische Ver- 
fahren ein. 

° Expanded memory: Dese Option 
ermöglicht es dem Programm, den 
EMS-Speicher zu nutzen, was die 
Arbeitsgeschwindigkeit erhöht. 

° Show program loops: Wird 
diese Option aktiviert, so werden 
alle Programm-Schleifen auf dem 
Bildschirm angezeigt. 


Vorsicht! Der Programmablauf von 
TBCLEAN wird damit enorm ge- 
bremst. Diese Option ist in der Regel 
| nur für sehr erfahrene Anwender die 

über Programmierkenntnissen verfü- 
| gen. 

Verwenden Sie diese Option also 
| nur, wenn Sie diese Information auch 
| benötigen und interpretieren können. 


| 








gestartet werden kann. Und genau das ist 
der Schwachpunkt, den TBCLEAN beim heu- 
ristischen Verfahren zu nutzen versteht, um 
zerstörte Daten zu restaurieren. 

TBCLEAN emuliert den Programm-Code 
des Virus bis zu dem Punkt, wo der Virus die 
überschriebenen Originaldaten wieder repa- 
riert hat und zum Originalcode zurück- 
springt. Darauf verabschiedet sich TBCLEAN 
von dem überlisteten Eindringling, kopiert 
den reparierten Programmanfang in die Pro- 
grammdatei auf der Festplatte und entfernt 
den Programmteil, der die Ausführung (des 
Virus) beinhaltet. Auf diese Weise sind die 
zerstörten Daten wiederhergestellt, und der 
Virus ist eliminiert! 

Wenn Anti-Viren-Dateien samt Prüf- 
summen zur Verfügung stehen und 
damit das Repair-Verfahren eingesetzt wer- 
den kann, vermag TBCLEAN etwa 95% 
aller Viren unschädlich zu machen. 
Doch selbst wenn das Programm auf das 
heuristische Verfahren beschränkt bleibt, 
weil keine Anti-Viren-Datein bestehen, sind 
dies immer noch um die 80%)! Die einzige 
Viren-Gattung, bei der TBCLEAN nichts aus- 
zurichten vermag, ist die Gattung der über- 
schreibenden Viren. 

Diese Viren zeichnen sich dadurch aus, 
daß sie ihren Code nicht einfach an das 
Wirtsprogramm anhängen, sondern den 
Code des Wirtsprogramms überschreiben, 
der damit unrettbar verloren ist und nicht 
mehr rekonstruiert werden kann. j 

Bei so gut wie allen anderen bekannten 
und unbekannten Computerviren verspricht 
der Einsatz des Programms Erfolg. Auch die 
besonders heimtückischen polymorphen 
Viren werden von TBCLEAN mühelos über- 
listet, und selbst die gefürchtete Mutation 
Engine ist für TBCLEAN kein Problem! 

























































































cherresident geladen 
und kontrolliert vom 
Speicher aus alle Pro- 
gramme, die auf die 


TBSCANX wird spei- | 


)ocum 


hegl 


TER AERT 


eXit 





Kontrolle ohne Lücke 


m eine lückenlose System- 
1] überwachung zu gewährlei- 

sten, bietet TBAV außer den 
bereits besprochenen Programmen 
TBSCAN, TBUTIL und TBCLEAN auch 
noch eine Reihe von Utilities, die 
dadurch charakterisiert sind, daß sie 
sich nach dem ersten Aufruf automa- 
tisch resident im Speicher installie- 
ren. Diese speicherresidenten 
Programme sind im Menü TBAV 
MONITOR zusammengefaßt und 
können dort aktiviert oder deakti- 
viert werden, vorausgesetzt, sie sind 
in der AUTOEXEC. BAT oder in der 
Batchdatei TBSTART. BAT eingetra- 
gen. Menüpunkte, die im Menü von 
TBAV MONITOR in blasserer Schrift 
erscheinen, müssen erst noch in die 
AUTOEXEC. BAT- oder in die 
TBSTART. BAT-Datei aufgenommen 
werden, bevor sie aufgerufen werden 
können. Beachten Sie bitte auch, daß 
die einzelnen Monitor-Programme 
nur gestartet werden können, 
wenn das Treiberprogramm 
TbDriver geladen ist. 

WINDOWS-Anwender Ach- 

tung! Aktivieren Sie die residenten 
Monitor-Programme grundsätzlich, 
bevor Sie WINDOWS starten. Das je- 


weilige Monitor-Programm registriert ° 


den Aufruf von WINDOWS und 
schaltet sich bei Bedarf automatisch 
in den Multitasking-Modus von WIN- 





DOWS ein. 
Das TBAV MONITOR-Menü be- 
steht aus folgenden Programmen: 


* TBSCANX 


| « TBCHECK 


« TBMEM 

« TBFILE 

« TBDISK 

« TBGARBLE 


TBSCANX 


Viren-Scanner haben normaler- 
weise eine Achillesferse: Auch der zu- 
verlässigste und gewiefteste Scanner 
kann seine Wirksamkeit nur entfal- 
ten, wenn er aktiviert ist. Worin be- 


| steht die Problematik? 


Angenommen, Ihr Scanner ist in 
die AUTOEXEC.BAT eingetragen und 
tritt beim Systemstart automatisch in 
Aktion. Nachdem keine verdächtigen 
Veränderungen festgestellt wurden 
und keine Virenmeldung erfolgt ist, 
gehen Sie beruhigt an Ihre Arbeit. 

Doch nun wollen Sie ein neues 
Programm installieren und die 
entsprechenden Programmdateien 


| auf die-Festplatte übertragen. Um si- 


cher zu gehen, daß beim Kopieren 
kein Virus eingeschleust werden 
kann, müßte bei jeder Diskette, die 
auf die Festplatte kopiert werden 
soll, zugleich auch der Scanner ge- 
startet werden. Und genau das ist 


den. 


der Schwachpunkt: Wer denkt schon 
daran, bei jeder Datei, die kopiert 
und entpackt wird, erneut den Scan- 
ner aufzurufen! 

Das Problem ist nur zu lösen, 
wenn der Virenscanner resident 
im Speicher agiert. Und genau 
das ist die Aufgabe von TBSCANX. 
Nachdem dieser residente Viren- 
jäger einmal aktiviert wurde, 
bleibt er im Speicher und kon- 
trolliert von dort aus alle Da- 
teien, die Sie sich von Disket- 
ten auf die Festplatte kopie- 
ren. Und nicht nur das: TBSCANX 
bietet zugleich auch Schutz vor 
den gefürchteten Bootsektor- 
Viren. Jedesmal, wenn Sie eine 
Diskette in Ihr Diskettenlaufwerk 
einlegen und starten, wird automa- 
tisch der Bootsektor überprüft. 

Nachdem TBSCANX aufgerufen 
wurde, läuft das Programm weitge- 
hend unbemerkt im Hintergrund 
ab. Daß TBSCANX aktiv ist, bemer- 
ken Sie erst, wenn ein Programm ge- 
laden wird oder wenn ein Schreibzu- 
griff auf eine Datei erfolgt. In diesem 
Falle wird in der Ecke oben links auf 
dem Monitor die Meldung 


*Scanning* 


eingeblendet. Bemerkt das Pro- 
gramm einen unerlaubten Schreibzu- 
griff, so erscheint ein Fenster mit der 
Meldung: 


WARNING, <Datei> contains 
<virus>. Abort? (y/n) (Warnung, 
die Datei xy enthält den xy-Virus. 

Abbrechen?) 


Entdeckt TBSCANX eine Virensi- 


Festplatte kopiert wer- 


Menü- 
\ punkte, 
ki die im 
” Menü 
von TBAV MONI- 
TOR in blasserer 
Schrift erscheinen, 
müssen erst noch 
in die AUTO- 
EXEC. BAT- oder in 
die TBSTART. BAT- 
Datei aufgenom- 
men werden, bevor 
sie aufgerufen wer- 
den können. 


Beach- 
\ ten Sie 
ü bitte, 

i daß die 
einzelnen Monitor- 
Programme nur ge- 
startet werden 
können, wenn das 
Treiberprogramm 
TbDriver geladen 
ist. 


.  WIN- 
\ DOWS- 
Anwen- 
" der Ach- 
tung! Aktivieren 
Sie die residenten 
Monitor-Programme 
grundsätzlich, 
bevor Sie WIN- 
DOWS starten. 


Wenn TB- 
SCANX 
eine Vi- 
rensigna- 
tur in einem Boot- 
sektor entdeckt, 
muß die kontami- 
nierte Diskette un- 
bedingt aus dem 
Laufwerk entfernt 
und der Rechner neu 
gebootet werden! 


Wenn 

TBMEM 

resident 
geladen ist, können 
Sie bei verdächtigen 
Programmreaktio- 
nen das Programm 
selbst abbrechen, 
wenn es hängen 
bleibt: Drücken Sie 
einfach [STRG]+ 
[ALT]+[EINFG]. 


Um eine 
Datei 
infizie- 
ren zu 
können, muß das 
read-only-Attribut 
erst entfernt wer- 
den. Ein solches 
Unterfangen ist in 
jedem Falle viren- 
verdächtig! 







gnatur in einem Bootsektor, so wird 
ebenfalls eine Warnung ausgegeben: 


WARNING, Disk in <drive> 
contains <virus>! Press a key 
(Warnung, die Diskette in 
Laufwerk .. enthält den xy-Virus! 
Drücken Sie irgendeine Taste). 


Beachten Sie bitte, daß ein mögli- 
cher Virus zu diesem Zeitpunkt noch 
kein Unheil anrichten kann, da das 
Programm, in das der Virus sich ein- 
genistet hat, noch nicht ausgeführt 


wurde. Wenn Sie jedoch die kontami- 


nierte Diskette nicht aus dem Disket- 
tenlaufwerk herausnehmen und den 
Rechner erneut booten, wird der 
Virus von der Diskette auf die Fest- 
platte kopiert, und das Verhängnis 
nimmt seinen Lauf! 


TBCHECK 


Zusätzlich zum residenten Signa- 
turen-Scanner TBSCANX bietet TBAV 
auch das speicherresidente Prüfsum- 
menprogramm TBCHECK. Es hat die 
Aufgabe, verdächtige Verände- 
rungen aufzudecken, bevor ein 
Programm ausgeführt wird, und 
bevor im Falle einer Infizierung der 
Virus Zerstörungen anrichten kann! 

Wie können solche Veränderungen 
festgestellt werden? TBCHECK ist bei 
der entsprechenden Integritätsprü- 
fung auf die Informationen der Anti- 
Viren-Dateien angewiesen. Sie erin- 


nern sich: Die Anti-Viren-Dateien wer- 


den vom Setup-Programm generiert, 
um wichtige Dateiinformationen wie 
die Dateigröße und die Prüfsumme 
zu speichern. TBCHECK nutzt diese 
Aufzeichnungen, um verdächtige Ver- 
änderungen, die auf einen Virus hin- 
weisen könnten, aufzuspüren. 
Wie TBSCANX bleibt auch 
TBCHECK nach dem ersten Pr 
maufruf fortan resident im 


gestartet wird, sogleich auf seine 
tegrität hin überprüft werden. 


in Aktion, wenn ein Schreibzugriff 
auf eine Datei festgestellt wird - 

dann wird auf demyBildschirm oben 
links die Meldu 


*Checking* 


eingeblendet. Im Falle, daß bei 
der Überprüfung eine Veränderung 
entdeckt wird, erfolgt augenblicklich 
eine entsprechende Meldung. 


gelungen ist, sich in einem Wirtspro- 
gramm einzuquartieren und mit Hilfe 
des Wirtsprogramms ihren eigenen, 
unheilvollen Programmcode auszu- 
führen. Hat ein Virus sich erst einmal 
im Speicher eingenistet, kann er von 
dort aus bequem weiter agieren und 
andere Programme verseuchen. 

Ein wirksamer Schutz gegen derar- 
tige Eindringlinge ist nur dann mög- 
lich, wenn es gelingt, den Virus 
daran zu hindern, sich resident 
im Speicher festzusetzen. Genau 
das ist die Aufgabe von TBMEM. Wie 
die anderen Monitor-Programme 
bleibt auch der Speicherwächter TB- 
MEM nach dem ersten Programmauf- 
ruf resident im Speicher und wacht 
mit Argusaugen darüber, daß kein 
Programm nach Programmabschluß 
unerlaubt weiter im Speicher verweilt. 

Doch wie unterscheidet 
TBMEM zwischen einem Virus 
und einem normalen TSR-Pro- 
gramm, das sozusagen legal im 
Speicher residiert? Auch TBMEM ist 
dazu wie schon TBCHECK auf die 
Unterstützung des Setup-Programms 
und der Anti-Viren-Dateien angewie- 
sen. Normale TSR-Programme, die er- 
laubtermaßen i eicher weilen, er- 





















sprechendes Markieru 


Ss zu verhindern 


der dazugehörigen Anti- 
automatisch ein Markie- 
en, so daß beim nächsten 
maufruf keine störende Mel- 
0 mehr erfolgt. 

Wenn Ihnen das Verhalten des be- 
treffenden Programms jedoch un- 
zulässig oder auch nur verdächtig er- 
scheint, so ist es ratsam, das Pro- 
gramm zu beenden und Ihren Scan- 
ner aufzurufen. TBMEM stellt Ihnen 
für diesen Fall die Tastenkombination 
[STRG]+[ALT]+[EINFG] als speziellen 
Hotkey zur Verfügung, mit dem das 
Programm jederzeit abgebrochen 
werden kann, auch wenn es hängen 
sollte! 





TBFILE 


Dateiviren sind darauf ausgerich- 
tet, Programmdateien zu infizieren. 
Dabei führt jede Infizierung unwei- 
gerlich zu Modifikationen, egal, was 
der Virus im einzelnen treibt. Um 





eine Infizierung aufzudecken und 

„einen Virus zu überführen, ist es un- 
erläßlich, das System ständig auf 
verdächtige Dateiveränderun- 
gen hin zu überwachen. Diese 
Aufgabe übernimmt TBFILE. Das 
speicherresidente Überwachungspro- 
gramm paßt auf, daß kein Programm 
ein anderes infiziert, und schlägt 
Alarm, wenn verdächtige Manipula- 
tionen beobachtet werden. 

Natürlich ist nicht jede Dateiver- 
änderung auf einen Virus zurückzu- 
führen. Wenn ein Programm nur neu 
konfiguriert oder upgedatet wird, 
dann handelt es sich um durchaus 
legitime Manipulationen, die selbst- * 
verständlich keinen Virenalarm aus- 
lösen sollen. TBFILE ist in der Lage, 
zulässige und unzulässige Manipula- 
tionen zu unterscheiden, so daß Sie 
nicht mit allzu häufigen Fehlalarm- 
Meldungen belästigt werden. 

Einmal aktiviert, übernimmt 
TBFILE vom Speicher aus die ständige 
Überwachung und gibt, sowie eine 
suspekte Manipulation entdeckt wird, 
in dem hierfür eingeblendeten 
Melde-Fenster eine entsprechende 
Meldung aus. 

Folgende Meldungen sind möglich: 


« „Attempt to modify startup- 
code of <filename> ...." - Ver- 
such, die Startroutine der Datei 
<Dateiname> zu verändern. 


Ein solches Unterfangen läßt zwei- 
felsfrei auf einen Virus schließen, 
denn kein Programm speichert verän- 
derbare Programmteile, wie das Kon- 
figurations-Setup, in der Start- 
routinel 


° „Attempt to add some code to 
program file <filename> ..." 
Versuch, den Programmcode zu er- 
weitern. 


Vorsicht! Es könnte ein Virus sein, 
der sich an den Code des Wirtspro- 
gramms anzuhängen versucht! 


* „Attempt to modify <file- 
name>, using obsolete FCB- 
functions ..." - Versuch, die 
Datei durch unzulässige Datei- 
Kontroll-Blockfunktionen zu 
verändern. 

„Attempt to rename <file- 
name> to <filename> ..." - 
Versuch, die Datei umzubenennen. 


Achtung! TBFILE kontrolliert nur 
ausführbare .EXE- und .COM-Da- 
teien. Der Versuch, die Erweiterung 
einer Programmdatei umzubenennen, 





ist im höchsten Maße verdächtig! 


° „Attempt to set the seconds 
part of <filename>'s time- 
stamp to an invalid value ..." 
- Versuch, den (versteckten!) 
Sekundenwert beim Zeiteintrag 
durch einen ungültigen Wert zu 
ersetzen. 

° „Attempt to remove the read- 
only attribute for <file- 
name>..." - Versuch, das Nur- 

Lese-Attribut der Datei zu entfer- 
nen. 


TBDISK 


Eine ganze Reihe von Viren haben 
es speziell auf die Festplatte abgese- 
hen und trachten danach, diese neu 
zu formatieren oder Sektoren zu ver- 
tauschen oder was sonst an bösarti- 
gen Aktivitäten noch möglich ist. 

TBDISK hat die Aufgabe, die 
Festplatte zu überwachen, und 
richtet sich zu diesem Zwecke resi- 
dent im Speicher ein. Permanent auf 
der Lauer, daß kein Virus eindringt 
oder eingeschleust werden kann, 
paßt TBDISK auf, daß kein Programm 
unter Umgehung von DOS direkt auf 
die Festplatte schreibt. Warum das? 

Sowie nun ein direkter Schreibzu- 
griff erfolgt, Öffnet sich ein Fenster 
mit einer entsprechenden Meldung. 
Darauf müssen Sie entscheiden, ob 
dieser Zugriff abgebrochen oder fort- 
geführt werden soll. Antworten Sie 


auf die Frage Cancel direct access? 
mit Nein, so wird im Programm fort- 
gefahren, und das betroffene Pro- 
gramm wird in der Anti-Viren-Datei 
mit einer entsprechenden Markie- 
rung versehen. 

Eine besondere Art oder vielmehr 
| Abart der gemeinen Computerviren 
ist darauf programmiert, Bootsektor- 
Viren auf die Festplatte einzuschleu- 
sen - die sogenannten Dropper 


per sind nur sehr schwer zu identifi- 
zieren - eben, weil sie selbst keine 
Viren sind. TBDISK ist darauf ausge- 
richtet, auch diesen Eindringlingen 
das Handwerk zu legen. Dropper 
pflegen bei ihrem niederträchtigen 
Unterfangen direkt auf das BIOS zu- 
zugreifen und das Betriebssystem zu 
umgehen. Im Unterschied zu Viren- 
Programmen greifen normale Pro- 
gramme in den allermeisten Fällen 
nicht direkt auf die Festplatte zu, 
sondern nutzen das Betriebssystem 
DOS. Doch es gibt Ausnahmen wie 
z.B. die unterschiedlichen Formatier- 
und Diagnose-Utilities. 


Wie unterscheidet TBDISK, ob 
ein Programm legal oder illegal 
auf die Festplatte schreibt? 


Um die entsprechende Unterschei- 
dung treffen zu können, benötigt 
TBDISK wiederum die Aufzeichnun- 





oder Schlepper. Diese Viren-Schlep- | 


gen in den vom Setup-Programm an- 
gelegten Anti-Viren-Dateien. 


TBGARBLE 


Das letzte Programm im Menü 
TBAV MONITOR ist ein Disketten-Ver- 
schlüsselungs-Programm, das vor 
allem bei Multi-User- und Netzwerk- 
betrieb interessant ist. TBGARBLE 
| bietet die Möglichkeit, Disketten 
zu verschlüsseln und zu ent- 
schlüsseln, um unerwünschtem Dis- 
kettenaustausch auf diese Weise 
einen Riegel vorzuschieben. 

Das Verschlüsseln und Entschlüs- 
seln der Disketten läuft ab, ohne daß 
Sie selbst etwas dazu tun, und ohne 
daß Daten dazu konvertiert werden 
müssen! Wie wird das bewerkstel- 
ligt? Ganz einfach: Beim Formatieren. 
Wenn TBGARBLE aktiv ist, so werden 
automatisch alle Daten beim Schrei- 
ben auf die Diskette verschlüsselt 
und beim Lesen entschlüsselt. 

Bei der Verschlüsselung wird bei 
allen nichtregistrierten Shareware- 
Versionen der Thunderbyte-Utilities 
derselbe Schlüssel verwendet. Regi- 
strierte Anwender dagegen erhalten 
die erforderlichen Informationen und 
Instruktionen, um eine eigene Schlüs- 
seldatei anzulegen. Als registrierter 
Anwender sollten Sie nicht verges- 
| sen, sich von Ihrem Key-File eine 
| Backup-Kopie anzulegen! 
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Regi- 

strierte 

Anwen- 

der er- 
halten die erfor- 
derlichen Informa- 
tionen und Instruk- 
tionen, um eine ei- 
gene Schlüsselda- 
tei anzulegen, die 
den Namen und die 
Lizenznummer und 
eben das von Thun- 
derbyte für jeden 
Anwender eigens 
vergebene Schlüs- 
selwort enthält. 
Ohne Kenntnis die- 
ses Schlüsselworts 
ist es unmöglich, 
auf diese Datei zu- 
zugreifen und ver- 
schlüsselte Da- 
teien zu entschlüs- 
seln. 





Heftdiskette defekt? 


Adresse 





Vorname 





Nachname 





Straße 








PLZ / Ort 


Reklamationsschein 


Hier bitte das Etikett Ihrer Programmdis- 


kette aufkleben - ganz oder teilweise. 
Wichtig: die Seriennummer muß lesbar 


sein! Wir vertrauen Ihren Angaben - bitte 


Diskette nicht mitsenden! 





meine Telefonnr. 


In diesem Fall verwenden Sie den Reklamationsschein auf dieser Seite. Bitte deutlich lesbar 
ausfüllen und zusammen mit einem ausreichend frankierten Rückumschlag (bis 100 g: DM 3,-) 
an die DOS-TREND-Redaktion, Am Kalischacht 4, 79426 Buggingen senden. 


EA 


Bitte schreiben Sie deutlich Ihre Absenderadresse in das Adreßfeld'! 














Disk-Tausch gratis 


Seit der Ausgabe EXTRA 1 bieten wir Ihnen die Möglichkeit, kostenlos - gegen 
Rückporto und Umschlag - die Heftdiskette im 3'-Zoll-Format zu bestellen. 
Nehmen Sie "bitte einen ausreichend frankierten Briefumschlag” (bis 100.9: 
DM 3,-), versehen Sie ihn mit Ihrer eigenen Anschrift und senden Sie ihn an die 


DOS-TREND-Redaktion - Stichwort: „Diskettentausch-3%-Zoll-Format‘ 
’ Am’Kalischacht 4 - 79426 Buggingen 
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Die deutsche 
Vollversion 


der Thunderbyte Anti-Viren-Uti- 

lities ist voll funktionsfähig und 
kann uneingeschränkt und ausge 
getestet werden. 


1] ie vorliegende Sharewareversion 


Doch verwechseln Sie Sharewafe 


bitte nicht mit Freeware! Wenn 
das Programmpaket geteste 
sich davon überzeugt hab 
zum gegenwärtigen Zeit 
besseres und zuverlässi 


Hotline-Support 


« Registrierten Anwendern steht 


jederzeit,der Thunderbyte Hotline- 
Suppopt-zdr Verfügung. Kompetente 


Unterstützung und Beratung aus er- 


ster Hand - im Ernstfall keine Alter- 
native! 
Analyse-Service 


« Virenverdächtige Programme kön- 
nen von registrierten Anwendern zur 
Überprüfung und Analysierung an 
die Spezial-Labors von Thunderbyte 
gesandt werden. 


Zusatzoptionen 


« Die Vollversion enthält einige zu- 
sätzliche Programmoptionen, die in 


Hiermit bestelle ich: 


Vollversion der Thunderbyte Anti-Viren-Utilities (Best-Nr. \D2828) 
(abzüglich Gutschrift von DM 8,50 für Shareware, zuzüglich 





TS [Bankeinzug (+ DM 4,90) Site Bankverbindung angeben 
MTYezeayı U Scheck liegt bei (+ DM 5,90) 
[WZIZELTGEICT U Nachnahme (+ DM 7,90) 
in Klammern) m Rechnung 
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(* DM 9,90) Nur Großfimen/öffentiche Institutionen mit offizieller Bestellung) 
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on Sie ein spezielles eigenes KEY- 
e, das Ihnen einen zusätzlichen 


Deutsche Fassung 


« Die Vollversion enthält die Thun- 
derbyte Anti-Viren-Utilities in deut- 
scher Fassung - kein mühseliges 
Fachwörterbuchwälzen mehr. 


ı Deutsches Handbuch 


« In der Vollversion erhalten Sie das 
vollständige Handbuch (über 200 
Seiten!) in deutscher Übersetzung 
auf der Diskette: schnelles und 
müheloses Auffinden aller wichtigen 
Hintergrund-Informationen - interes- 
sant sowohl für Profis als auch für 
Einsteiger. 


Deshalb: 

Nutzen Sie die viel- 
fältigen Vorteile der 
Vollversion und lassen 
Sie sich registrieren! 


Versandkostenanteil) 
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Gerhard Franken 


Das Einsteigerseminar 
MS-DOS 6.0 


ISBN 3-89360-704-8 
224 Seiten, broschiert 


19,80 DM 


Dieses Buch ist bewußt kompakt gehalten und 
beschränkt sich auf die für die Praxis wesentli- 
chen Programmfunktionen. In kurzen Lernab- 
schnitten wird, unterstützt von vielen Übungs- 
und Arbeitsaufgaben, der Einstieg in das 
Betriebssystem MS-DOS 6.0 vermittelt 
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BHV Lexikon 
MS-DOS bis 6.0 


Alles rund um ISBN 3-89360-709-9 
Gerhard Franken MS-DOos 224 Seiten, broschiert 


Das Anwenderbuch Eee 1 9,80 DM 


MS-DOS 6.0 Alles über MS-DOS von A -Z in über 800 


ISBN 3-89360-036-1 Stichwörtern:Tips & Tricks, Installation, 


640 Seiten, gebunden Speicherverwaltung, Konfiguration 
Stapeldateien, DOS-Editoren, Daten- 


39 00 D M ... „erlosenes Wissen! schutz, Laufwerke, Verzeichnisse etc 
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Gerhard Franken sein Wissen für Sie in Johannes Oppermann 
wirklich verständlicher und kompetenter Johannes ©) . . 

Weise auf, so daß es N Be ED I T I oO N TEN Freischwimmer 
gebackene Einsteiger als auch für fort- ı 
geschrittene Anwender den idealen MS-DOS bis 6.0 


or h 2731 ‘a N .OAB- 
EREANEREEENE ‚SCHWIMMER. Watte 
Kebschull/Raymans ES ” Dos 24,80 DM 


Professional Edition = Was immer Sie gehört und gele- 
MS-DOS 6.0 R €) B56.0 sen haben - an MS-DOS kommen 


DOS-Ratgeber darstellt 


Franken/Frater/ 


: ex Sie als PC-Anwender nicht vorbei 
ISBN 3-89360-306-9 - x ” Aber glauben Sie ja nicht, DOS se 
736 Seiten, gebunden, 3 zu schwer für Sie! In diesem Buch 


werden Sie sehen, wie einfach es 
ist, mit seinem Computer Freund- 
schaft zu schließen. Sie erhalten 
hier eine einfühlsame Einführung 
in die grundlegenden Elemente 
von DOS, ganz gleich, welche 
Versionsnummer Ihr DOS hat 


mit Diskette, Ausklappseiten 4 I 1 
Ka 


59,00 DM 


Unser Standardwerk behandelt sämtliche 
DOS-Versionen. In seinen verschiedenen 
Teilen werden u. a. die Arbeitsumgebung ’ 
und die Werkzeuge von DOS (EDIT Ja 5 ee Auch 

DEBUG und DOSKEY), Batch- und nur ; a 
Konfigurationsdateien, Speichermanage- , 4 Wie man Freundschaft 

ment unter Berücksichtigung von he a a mit seinem Computer schließt 
Windows, Multitasking, File-Sharing, die 1 ; 
neuen 6.0 Tools und Virenbekämpfung 
ausführlich erörtert. Sie finden wertvolle 
Tips zur Optimierung Ihres Systems 
sowie undokumentierte DOS-Befehle. 
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LEPZIZ III A 
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Thunderbyte 
Utilities 


Achtung: Rund 
2500 bekannte 
Computerviren 
treiben zur Zeit 
ihr Unwesen 
und zerstören 
tagtäglich 
wertvolle Datenbestände! 

Kein PC-Anwender sollte sich 
vorschnell in Sicherheit 
wähnen - selbst dann nicht, 
wenn er ein Antiviren- 
Programm auf seinem Rechner 
installiert hat. Denn bei der 
Bekämpfung von Computerviren 
haben die Anti-Viren-Programmierer 
einige Mühe, angemessene Schutz- 


und Abwehrmaßnah- 
men gegen die immer 
wieder neuen und immer 
raffinierteren Ein- 
dringlinge ins Feld zu 
führen. 

Der niederländischen Firma 
ESaSS ist mit den Thunderbyte- 
Utilities ein Rundumschutz 
gelungen, der Computer-Anwendern 
ein bislang nicht erreichtes Maß an 
Sicherheit auch vor unbekannten 
Viren bietet. Thunderbyte entdeckt 
Computerviren, bevor sie virulent 
sind! 

Das Thunderbyte-Konzept 
basiert auf jahrelangen 


Inhalt der Heftdiskette: 


Ir 


TBSCAN: Dieser Virenscanner 
beschränkt sich nicht auf bloßes 
Signaturen-Scannen, sondern 


analysiert und interpretiert interne 
Programmbefehle. Dank dieses exklusiv von 


Thunderbyte entwickelten heuristischen Verfahrens 
können auch unbekannte tınd noch nicht 
identifizierte Viren aufgespürt werden. 


Ir 


TBUTIL: Mit diesem nützlichen 
Utility können Sie ein Backup des 
Bootsektors, der Partitions- 


TBCHECK: Speicherresident 
installiert, kontrolliert dieses Prüf- 
summenprogramm Programmdateien 
auf ihre Integrität und meldet jede 
Veränderung und jede unerlaubte Manipulation. 





Sehr geehrte 


DER BTTE 

jetzt als = _ 

uneingeschrenkte ea 
Shareware 1 Be a 


intensiven 

Forschungsaktivitäten und 
auf den modernsten Verfahren der 
Virenerkennung und Virenabwehr. 
Die einzelnen Module im 
Thunderbyte Anti-Viren-Paket 
umfassen alle Stufen der Viren- 
bekämpfung von der Diagnose 
bis zur Immunisierung und 
Prävention und realisieren in 
ihrem Zusammenwirken ein 


| umfassendes und lückenloses 
| Sicharheitskonzept. 


er 
Kr 


Thunderbyte bietet ein komplettes Instrumen- 
tarium zum Schutz und zur Abwehr von 
Computerviren - einen Rundumschutz, auf den kein 
PC-Besitzer verzichten kann! 


TBFILE: Dateiviren haben keine 
Chance! Dieser Dateiwächter 
sorgt dafür, daß kein Programm 
ein anderes Programm infiziert! 


TBDISK: Das residente Über- 
wachungsprogramm kontrolliert 
die Festplatte und läßt keinen 
unerlaubten Schreibzugriff zu. 





TBAV-Anwender 





Tabelle und der CMOS- 
Einstellungen anlegen. Bei einer Infizierung mit 
Bootsektor-Viren lassen sich die wichtigsten 
Systemdaten rekonstruieren. 

TBCLEAN: Das „Desinfektions- 

programm" entfernt bekannte 

und unbekannte Viren und stellt 
beschädigte Dateien wieder her. 


TBMEM: Mit Argusaugen überwacht 
dieses speicherresidente Kontroll- 
programm den Speicher und 
verwehrt ungebetenen Ein- 
dringlingen den Zutritt. Kein Programm vermag sich 
mehr unerlaubt in Ihrem Arbeitsspeicher festzusetzen! 





Als Technischer Direktor 
von ESaSS freue ich mich, 
Ihnen in Zusammenarbeit mit 
der DOS-TREND-Redaktion ein 
Anti-Viren-Paket vorstellen 
zu dürfen, das den 
Herausforderungen selbst 
noch nicht bekannter Viren 
ganz und gar gewachsen ist. 
Ob Dropper, Datei- Stealth- oder 
Bootsektor-Viren - selbst polymorphe Viren 
und die gefürchteten „Mutation Engines” 
sind für die ThunderByte Anti-Viren- 
Utilities kein Problem. 
Dafür stehe ich mit meinem 


Hrlot 











Namen. 


Frans Velc 
Verantwort h für die Entwicklung 
der ThunderByte Anti-Viren-Utilities 
bei ESaSsS Niederlande 















